Configurer l'authentification basée sur serveur avec Dynamics 365 Online et SharePoint local
Date de publication : février 2017
S’applique à : Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
Présentée avec Mise à jour 1 de Microsoft Dynamics CRM Online 2015, l'intégration basée sur serveur de Microsoft SharePoint pour la gestion des documents peut être utilisée pour connecter Microsoft Dynamics 365 (Online) avec SharePoint local. Lorsque vous utilisez l'authentification basée sur serveur, les services de domaine Azure AD jouent le rôle de courtier et les utilisateurs n'ont pas besoin de se connecter à SharePoint.
Contenu de la rubrique
Autorisations requises
Configuration de l'authentification serveur à serveur avec Dynamics 365 (online) et SharePoint local
Ajouter l'intégration de OneDrive for Business
Sélection d'un type de mappage de l'authentification basée sur les revendications
Autorisations requises
Office 365
- Appartenance Administrateur global d'Office 365 : cette condition est requise pour l'accès au niveau administrateur à l'abonnement Microsoft Office 365 et pour exécuter les applets de commande Microsoft AzurePowerShell.
Microsoft Dynamics 365 (Online)
Privilège Exécuter l'Assistant Intégration SharePoint privilege. Il est requis pour exécuter l'Assistant d'activation de l'authentification basée sur serveur dans Microsoft Dynamics 365.
Par défaut, l'administrateur système possède cette autorisation.
SharePoint local
- Appartenance au groupe Administrateurs de batterie : requis pour exécuter la plupart des commandes PowerShell sur le serveur SharePoint.
Configuration de l'authentification serveur à serveur avec Dynamics 365 (online) et SharePoint local
Suivez les étapes dans l'ordre indiqué pour configurer Dynamics 365 (en ligne) avec SharePoint 2013 en local.
Important
-
La procédure décrite ici doit être exécutée dans l'ordre indiqué. Si une tâche n'est pas terminée, comme une commande PowerShell qui renvoie un message d'erreur, le problème doit être résolu avant de passer à la commande, à la tâche ou à l'étape suivante.
-
Après avoir activé l'intégration SharePoint basée sur serveur, vous ne pourrez pas restaurer la méthode d'authentification client précédente. Par conséquent, vous ne pouvez pas utiliser Composant Liste de Microsoft Dynamics CRM après avoir configuré votre organisation Dynamics 365 pour l'intégration SharePoint basée sur serveur.
Vérification des conditions préalables requises
Avant de configurer le site Microsoft Dynamics 365 (Online) et SharePoint en local pour l'authentification basée sur serveur, la configuration requise suivante doit être satisfaite :
Configuration préalable pour SharePoint
Microsoft SharePoint 2013 (local) avec le Service Pack 1 (SP1) ou une version ultérieure
Important
Les versions Microsoft SharePoint Foundation 2013 ne sont pas prises en charge pour une utilisation avec la gestion de documents Microsoft Dynamics 365.
Correctif KB2883081 pour SharePoint Foundation 2013 (12 août 2014) Sts-x-none.msp
Important
Les mises à jour suivantes sont des conditions préalables à KB2883081 et peuvent également être nécessaires.
Configuration de SharePoint
SharePoint doit être configuré pour un seul déploiement en batterie uniquement.
Le site Web de SharePoint doit être accessible par Internet. Un proxy inverse peut également être nécessaire pour l'authentification SharePoint . Informations complémentaires : Configuration d'un proxy inverse pour serveur SharePoint 2013 hybride
Le site Web de SharePoint doit être configuré pour utiliser SSL (HTTPS) et le certificat doit être émis par une autorité de certification racine publique.Pour plus d'informations :SharePoint : À propos des certificats SSL de canal sécurisé
Une propriété utilisateur fiable à utiliser pour le mappage de l'authentification basée sur les revendications entre SharePoint et Microsoft Dynamics 365.Pour plus d'informations :Sélection d'un type de mappage de l'authentification basée sur les revendications
Le service de recherche SharePoint doit être activé pour le partage de documents.Pour plus d'informations :Créer et configurer une application de service de recherche dans le serveur SharePoint
Pour la fonctionnalité de gestion des documents lors de l'utilisation des applications mobiles Microsoft Dynamics 365, le serveur SharePoint local doit être disponible via Internet.
Si vous utilisez Microsoft SharePoint 2013, pour chaque batterie SharePoint, une seule organisation Microsoft Dynamics 365 peut être configurée pour l'intégration basée sur serveur.
Autres conditions préalables
Licence SharePoint Online. L'authentification basée sur serveur de Microsoft Dynamics 365 (Online) à SharePoint doit avoir le nom de principal du service (SPN) SharePoint enregistré dans Azure Active Directory. Pour ce faire, au moins une licence utilisateur SharePoint Online est requise. La licence SharePoint Online peut dériver d'une seule licence utilisateur et provient généralement de l'un des éléments suivants :
Un abonnement SharePoint Online. Tout plan SharePoint Online est suffisant même si la licence n'est pas affectée à un utilisateur.
Un abonnement Office 365 incluant SharePoint Online. Par exemple, si Office 365 E3 est installé, vous disposez de la licence appropriée même si elle n'est pas affectée à un utilisateur.
Pour plus d'informations sur ces plans, voir Office 365 : Choisir un plan et Comparer les options SharePoint
Les fonctionnalités logicielles suivantes sont nécessaires pour exécuter les applets de commande PowerShell décrites dans cette rubrique.
Important
À l'heure de la rédaction, il existe un problème avec la version RTW de l'assistance de connexion Microsoft Online Services pour les professionnels des technologies de l'information. Jusqu'à ce que ce problème soit résolu, il est recommandé d'utiliser la version Bêta.Pour plus d'informations :Forums Microsoft Azure : Impossible d'installer le module Azure Active Directory pour Windows PowerShell. MOSSIA n'est pas installé.
Type approprié de mappage de l'authentification basée sur les revendications à utiliser pour mapper les identités entre Microsoft Dynamics 365 (Online) et SharePoint local. Par défaut, l'adresse de messagerie est utilisée.Pour plus d'informations :Accordez à Microsoft Dynamics 365 l'autorisation d'accès à SharePoint et de configurez le mappage d'authentification basée sur les revendications
Mettre à jour le serveur SharePoint SPN dans les services de domaine Azure Active Directory
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez les commandes PowerShell dans l'ordre indiqué.
Préparez la session PowerShell .
Les applets de commande suivantes permettent à l'ordinateur de recevoir des commandes à distance et d'ajouter des modules Office 365 à la session PowerShell . Pour plus d'informations sur ces applets de commande, voir Applets de commande principales de Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -force
Connectez-vous à Office 365.
Lorsque vous exécutez la commande Connect-MsolService, vous devez entrer un Compte Microsoft valide ayant l'appartenance Administrateur global d'Office 365 pour la licence SharePoint Online demandée.
Pour plus d'informations sur chacune des commandes Azure Active DirectoryPowerShell répertoriées ici, voir MSDN : Gestion d'Azure AD à l'aide de Windows PowerShell.
$msolcred = get-credential connect-msolservice -credential $msolcred
Définissez le nom de l'hôte SharePoint.
La valeur que vous définissez pour la variable HostName doit être le nom d'hôte complet de la collection de sites SharePoint . Le nom d'hôte doit être dérivé de l'URL de la collection de sites et est sensible à la casse. Dans cet exemple, l'URL de la collection de sites est *https://SharePoint.constoso.com/sites/salesteam* ; ainsi le nom d'hôte est SharePoint.contoso.com.
$HostName = "SharePoint.contoso.com"
Procurez-vous l'ID d'objet Office 365(client) et le nom de principal de service (SPN) SharePoint Server.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNames
Définissez le nom principal de service SharePoint Server (SPN) dans Azure Active Directory.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Une fois ces commandes achevées, ne fermez pas SharePoint 2013 Management Shell, et procédez à l'étape suivante.
Mise à jour du domaine SharePoint pour qu'il corresponde à celui de SharePoint Online
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez ces commandes Windows PowerShell.
La commande suivante nécessite l'appartenance administrateur de batterie SharePoint et définit le domaine d'authentification de SharePoint sur la batterie locale.
Avertissement
L'exécution de cette commande modifie le domaine d'authentification de la batterie SharePoint locale. Pour les applications qui utilisent un service d'émission de jeton de sécurité (STS) existant, cela peut entraîner un comportement inattendu avec d'autres applications qui utilisent les jetons d'accès. Pour plus d'informations, voir Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Créer un émetteur de jeton de sécurité de confiance pour Azure Active Directory sur SharePoint
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez les commandes PowerShell dans l'ordre indiqué.
Les commandes suivantes requièrent l'appartenance administrateur de batterie SharePoint .
Pour plus d'informations sur ces commandes PowerShell, voir Utilisation des applets de commande Windows PowerShell pour administrer la sécurité dans SharePoint 2013.
Activez la session PowerShell pour modifier le service d'émission de jeton de sécurité pour la batterie SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Définissez le point de terminaison des métadonnées.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
Créez le nouveau proxy d'application de service de jeton de contrôle dans Azure Active Directory.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
Notes
La commande New- SPAzureAccessControlServiceApplicationProxy peut retourner un message d'erreur pour indiquer qu'un proxy d'application du même nom existe déjà. Si le proxy d'application nommé existe déjà, vous pouvez ignorer l'erreur.
Créez le nouvel émetteur de jeton de contrôle dans SharePoint local pour Azure Active Directory.
$ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Accordez à Microsoft Dynamics 365 l'autorisation d'accès à SharePoint et de configurez le mappage d'authentification basée sur les revendications
Sur le serveur SharePoint local, dans le Management Shell SharePoint 2013, exécutez les commandes PowerShell dans l'ordre indiqué.
Les commandes suivantes requièrent l'appartenance Administrateur de collection de sites SharePoint.
Enregistrez Microsoft Dynamics 365 avec la collection de sites SharePoint .
Entrez l'URL de la collection de sites SharePoint en local. Dans cet exemple, https://sharepoint.contoso.com/sites/crm/ est utilisé.
Important
Pour réaliser cette commande, le proxy d'applications de service de gestion des applications SharePoint doit exister et être en cours d'exécution. Pour savoir comment démarrer et configurer le service, voir la sous-rubrique Configuration des paramètres d'abonnement et des applications de service de gestion d'applications dans Configuration d'un environnement pour les applications pour SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
Autorisez l'application Microsoft Dynamics 365 à accéder au site SharePoint. Remplacez https://sharepoint.contoso.com/sites/crm/ par l'URL de votre site SharePoint.
Notes
Dans l'exemple ci-dessous, l'application Dynamics 365 est autorisée à accéder à la collection de sites SharePoint spécifiée à l'aide du paramètre de collection de sites Étendue. Le paramètre Étendue accepte les options suivantes. Choisissez l'étendue la plus appropriée pour votre configuration SharePoint.
-
site. Autorise l'application Dynamics 365 à accéder uniquement au site Web SharePoint spécifié. Il n'autorise pas l'accès aux sous-sites du site nommé.
-
sitecollection. Autorise l'application Dynamics 365 à accéder à tous les sites Web et sous-sites de la collection de sites SharePoint spécifiée.
-
sitesubscription. Autorise l'application Dynamics 365 à accéder à tous les sites Web de la batterie SharePoint, notamment l'ensemble des collections de sites, sites Web et sous-sites.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
-
Définissez le type de mappage de l'authentification basée sur les revendications
Important
Par défaut, le mappage de l'authentification basée sur les revendications utilise l'adresse de messagerie Compte Microsoft de l'utilisateur et son adresse Courrier électronique de travailSharePoint locale pour le mappage. Lorsque vous utilisez ceci, les adresses de messagerie de l'utilisateur doivent être identiques dans les deux systèmes. Pour plus d'informations, voir Sélection d'un type de mappage de l'authentification basée sur les revendications.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Exécuter l'assistant Activer l'intégration SharePoint basée sur un serveur
Dans l'application Microsoft Dynamics 365, procédez comme suit :
Accédez à Paramètres > Gestion des documents. (Comment y accéder ?)
Dans la zone Gestion des documents, cliquez sur Activer l'intégration SharePoint basée sur un serveur.
Consultez les informations, puis cliquez sur Suivant.
Pour les sites SharePoint, cliquez sur Local, puis sur Suivant.
Entrez l'URL de la collection de sites SharePoint en local, comme https://sharepoint.contoso.com/sites/crm. Le site doit être configuré pour SSL.
Cliquez sur Suivant.
La section de validation des sites apparaît. Si tous les sites sont déterminés valides, cliquez sur Activer. Si un ou plusieurs sites sont déterminés non valides, voir Dépannage l'authentification basée sur serveur.
Sélectionnez les entités à inclure dans la gestion des documents
Par défaut, les entités Compte, Article, Prospect, Produit, Devis Documentation commerciale sont incluses. Vous pouvez ajouter ou supprimer les entités qui seront utilisées pour la gestion de documents avec SharePoint dans Paramètres de gestion des documentsMicrosoft Dynamics 365.Accédez à Paramètres > Gestion des documents. (Comment y accéder ?)Pour plus d'informations :Centre de clients : Activation de la gestion des documents sur des entités
Ajouter l'intégration de OneDrive for Business
Une fois que vous avez effectué la configuration de l'authentification basée serveur en local pour Microsoft Dynamics 365 et SharePoint, vous pouvez également intégrer OneDrive Entreprise. Avec l'intégration Microsoft Dynamics 365 et OneDrive Entreprise, les utilisateurs Dynamics 365 peuvent créer et gérer des documents privés avec OneDrive Entreprise. Ces documents sont accessibles dans Dynamics 365 dès que l'administrateur système a activé OneDrive Entreprise.
Activer OneDrive Entreprise
Sur Windows Server où le site SharePoint Server est exécuté, ouvrez le shell de gestion SharePoint et exécutez les commandes suivantes :
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Sélection d'un type de mappage de l'authentification basée sur les revendications
Par défaut, le mappage de l'authentification basée sur les revendications utilise l'adresse de messagerie Compte Microsoft de l'utilisateur et son adresse Courrier électronique de travail SharePoint locale pour le mappage. Notez que, quel que soit le type d'authentification basée sur les revendications que vous utilisez, les valeurs telles que les adresses de messagerie, doivent être identiques entre Microsoft Dynamics 365 (Online) et SharePoint. La synchronisation du répertoire Office 365 peut être utile.Pour plus d'informations :Déploiement de la synchronisation de répertoire Office 365 (DirSync) dans Microsoft Azure Pour utiliser un autre type de mappage d'authentification basée sur les revendications, voir Définition d'un mappage de revendications personnalisé pour l'intégration SharePoint basée sur serveur.
Important
Pour activer la propriété de messagerie de travail, le SharePoint local doit avoir une application de service Profil utilisateur configurée et démarrée. Pour activer une application de service Profil utilisateur dans SharePoint, voir Création, modification ou suppression d'applications de service Profil utilisateur dans SharePoint Server 2013. Pour apporter des modifications à une propriété d'utilisateur, comme la messagerie de travail, voir Modification d'une propriété de profil utilisateur. Pour plus d'informations sur l'application de service Profil utilisateur, voir Vue d'ensemble de l'application de service Profil utilisateur dans SharePoint Server 2013.
Voir aussi
Dépannage l'authentification basée sur serveur
Configuration de l'intégration de SharePoint à Microsoft Dynamics 365
© 2017 Microsoft. Tous droits réservés. Copyright