Configurer l'authentification basée sur un serveur avec Microsoft Dynamics 365 (local) et SharePoint local

Date de publication : février 2017

S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016

Cette rubrique décrit comment configurer l'intégration basée sur serveur entre Dynamics 365 (local) et Microsoft SharePoint en local.

Contenu de la rubrique

Configurer l'intégration basée sur serveur avec Dynamics 365 et SharePoint

Ajouter l'intégration de OneDrive for Business

Dépannage de l'intégration basée sur serveur entre Dynamics 365 Server (local) et SharePoint Server local

À propos du mappage de l'authentification basée sur les revendications

Utilisation des certificats numériques

Obtenir l'ID de domaine SharePoint

Configurer l'intégration basée sur serveur avec Dynamics 365 et SharePoint

Suivez les étapes dans l'ordre indiqué pour configurer Dynamics 365 (local) avec Microsoft SharePoint Server en local.

Vérification des conditions préalables requises

Avant de configurer Dynamics 365 (local) et SharePoint en local pour l'intégration basée sur serveur, les autorisations et la configuration préalable ci-après sont requises.

Autorisations requises

Microsoft Dynamics 365

• Rôle de sécurité Administrateur système : requis pour exécuter l'Assistant Activer l'intégration SharePoint basée sur un serveur dans Microsoft Dynamics 365.

• Si vous utilisez un certificat auto-signé à des fins d'évaluation, vous devez avoir un membre du groupe Administrateurs locaux sur l'ordinateur qui exécute Microsoft Dynamics 365 Server.

SharePoint local

• Appartenance au groupe Administrateurs de batterie : requis pour exécuter la plupart des commandes Windows PowerShell sur le serveur SharePoint.

Configuration préalable pour SharePoint

• Une des versions SharePoint suivantes :

  • SharePoint 2016 Local.

    Notes

    Mise à jour de décembre 2016 pour Dynamics 365 (en ligne et local) est nécessaire pour utiliser SharePoint 2016 avec Dynamics 365 (local).Pour plus d'informations :Mise à jour de décembre 2016 pour Dynamics 365 (en ligne et local)

  • Microsoft SharePoint 2013 en local avec le Service Pack 1 (SP1) ou une version ultérieure avec les mises à jour suivantes.

    • Correctif KB2883081 pour SharePoint Foundation 2013 (12 août 2014) Sts-x-none.msp

    • Les mises à jour suivantes sont des conditions préalables à KB2883081 et peuvent également être nécessaires.

      • https://support2.microsoft.com/kb/2768000

      • https://support.microsoft.com/kb/2767999

      • https://support.microsoft.com/kb/2880963

• Configuration de SharePoint

  • SharePoint doit être configuré pour un seul déploiement en batterie uniquement.

  • Pour utiliser le mappage de l'authentification basée sur les revendications par défaut, le domaine Active Directory où le serveur SharePoint et le serveur Microsoft Dynamics 365 sont situés, doit être le même. Ou bien, le domaine où le serveur SharePoint est situé doit approuver le domaine où Microsoft Dynamics 365 Server est situé. Pour plus d'informations, voir À propos du mappage de l'authentification basée sur les revendications

  • Le site Web de SharePoint doit être configuré pour utiliser TLS/SSL (HTTPS) et le certificat doit être émis par une autorité de certification racine publique.Pour plus d'informations :SharePoint : À propos des certificats SSL de canal sécurisé

  • Le proxy d'applications de service de gestion des applications doit être créé et démarré.Pour plus d'informations :Configurer un environnement pour les applications pour SharePoint

  • Une application de service Profil utilisateur doit être configurée et démarrée.Pour plus d'informations :Créer, modifier ou supprimer des applications de service Profil utilisateur sur le serveur SharePoint 2013

  • Le service de recherche SharePoint doit être activé pour le partage de documents.Pour plus d'informations :Créer et configurer une application de service de recherche dans le serveur SharePoint

  • Pour la fonctionnalité de gestion des documents lors de l'utilisation des applications mobiles Microsoft Dynamics 365, le serveur SharePoint local doit être disponible via Internet.

  • Pour permettre aux utilisateurs de créer des bibliothèques de documents SharePoint à partir de Dynamics 365, les autorisations et les configurations suivantes sont nécessaires :

    • Le compte Active Directory de l'utilisateur Dynamics 365 doit être membre du groupe Membres de sites dans la collection de sites SharePoint où sont stockés les documents.

    • Par défaut, le mappage de l'authentification basée sur les revendications utilise l'adresse de messagerie Dynamics 365 principale de l'utilisateur et son adresse de messagerie professionnelle SharePoint locale pour le mappage. Lorsque ce mappage est utilisé, les adresses de messagerie de l'utilisateur doivent être identiques dans les deux systèmes. Pour plus d'informations, voir À propos du mappage de l'authentification basée sur les revendications

Autres conditions préalables et restrictions

• Certificat numérique X509 à utiliser pour l'authentification basée sur serveur entre Microsoft Dynamics 365 Server et le serveur SharePoint. Les clés de certificat doivent avoir au minimum un cryptage 2048 bits. Dans la plupart des cas, ce certificat doit être émis par une autorité de certification de confiance, mais à des fins d'évaluation vous pouvez utiliser un certificat auto-signé.

• L'identité du pool d'applications CRMAppPool doit avoir un accès en lecture au certificat x509 qui est utilisé pour l'authentification basée sur serveur avec Microsoft Dynamics 365 Server et le serveur SharePoint. Vous pouvez utiliser le composant logiciel enfichable MMC Certificats pour octroyer cet accès.

• Si vous utilisez Microsoft SharePoint 2013, pour chaque batterie SharePoint, une seule organisation Microsoft Dynamics 365 peut être configurée pour l'intégration basée sur serveur. Vous pouvez toutefois connecter plusieurs organisations Microsoft Dynamics 365 à une batterie de serveursSharePoint 2016.

Préparer Microsoft Dynamics 365 Server pour l'intégration basée sur serveur

CertificateReconfiguration.ps1 est un script Windows PowerShell qui installe un certificat dans le magasin de certificats local, octroie à l'identité Service de traitement asynchrone Microsoft Dynamics 365 spécifiée un accès au certificat et met à jour Microsoft Dynamics 365 Server pour utiliser le certificat.

Ajouter le certificat de serveur à serveur au magasin de certificats local et à la base de données de configuration Microsoft Dynamics 365

1. Ouvrez une session de commande PowerShell sur tous les serveurs où le rôle Serveur complet Microsoft Dynamics 365 Server est installé. Pour les autres déploiements de rôles serveur, l'emplacement d'exécution de l'applet de commande pour installer le certificat dépend de votre version de Microsoft Dynamics 365.

   • Pour Service Pack de décembre 2016 pour Microsoft Dynamics 365 (local) et les versions ultérieures, exécutez cette commande sur tous les serveurs où le rôle Serveur d'application Web s'exécute.

   • Pour les versions de Microsoft Dynamics CRM 2016 Service Pack 1 et celles antérieures, exécutez cette commande sur tous les serveurs où le rôle serveur Service asynchrone s'exécute.

2. Modifiez votre emplacement dans le dossier <lecteur>:\Program Files\Microsoft Dynamics CRM\Tools.

3. Exécutez le script CertificateReconfiguration.ps1 Windows PowerShell comme décrit ici :

   • certificateFilepath\Personalcertfile.pfx. Paramètre requis qui spécifie le chemin d'accès complet au fichier d'échange d'informations personnelles (.pfx). Pour plus d'informations, voir Utilisation des certificats numériques

   • passwordpersonal_certfile_password. Paramètre requis qui spécifie le mot de passe de certificat privé.

   • certificateType S2STokenIssuer. Paramètre requis qui spécifie le type de certificat. Pour l'intégration basée sur serveur Microsoft Dynamics 365 et SharePoint, seul S2STokenIssuer est pris en charge.

   • serviceAccount ‘DomainName\UserName’ ou ‘Service réseau’.

     • Pour Service Pack de décembre 2016 pour Microsoft Dynamics 365 (local) et les versions ultérieures :

       serviceAccount 'contoso\CRMWebAppServer' ou ‘Service réseau’. Paramètre requis qui spécifie l'identité du rôle Serveur d'application Web. L'identité est un compte d'utilisateur de domaine, par exemple contoso\CRMWebAppServer, ou Service réseau. L'identité accorde l'autorisation au certificat.

     • Pour les versions de Microsoft Dynamics CRM 2016 Service Pack 1 et celles antérieures :

       serviceAccount 'contoso\CRMAsyncService' ou ‘Service réseau’. Paramètre requis qui spécifie l'identité du Service asynchrone. L'identité est un compte d'utilisateur de domaine, par exemple contoso\CRMAsyncService, ou Service réseau. L'identité accorde l'autorisation au certificat.

   • updateCrm. Ajoute les informations de certificat à la base de données de configuration Microsoft Dynamics 365.

     Important

     Même si plusieurs rôles Serveur d'application Web ou Service asynchrone sont déployés, vous ne devez exécuter qu'une seule fois la commande avec le paramètre updateCrm.

   • storeFindType FindBySubjectDistinguishedName. Spécifie le type de magasin de certificats. Par défaut, cette valeur est FindBySubjectDistinguishedName et est recommandée lorsque vous exécutez le script.

   Important

   Bien que les paramètres updateCrm et StoreFindType soient optionnels pour exécuter la commande, ces paramètres sont nécessaires pour l'intégration SharePoint basée sur serveur afin que les informations de certificat soient ajoutées à la base de données de certification.

   Exemple

   .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
   

Préparer la batterie SharePoint pour l'intégration basée sur serveur

Obtenir l'ID de domaine Dynamics 365

1. Démarrez l’Assistant Activer l'intégration SharePoint basée sur un serveur.Accédez à Paramètres > Gestion des documents. (Comment y accéder ?)

2. Cliquez sur Suivant, sur Local, puis sur Suivant.

3. L'ID s'affiche en regard de ID de domaine Dynamics 365 dans la page.

   Conseil

   Enregistrez l'ID de domaine Dynamics 365 dans un fichier texte sur un partage réseau sécurisé ou un stockage en cloud. Vous pouvez facilement le récupérer à l'emplacement où vous exécutez l'Assistant Activer l'intégration SharePoint basée sur un serveur.

Sur le serveur SharePoint local, dans le SharePoint Management Shell, exécutez les commandes PowerShell dans l'ordre indiqué.

Préparer le serveur SharePoint pour l'authentification de Dynamics 365 Server

1. Si vous utilisez un shell de gestion PowerShell différent du shell de gestion SharePoint, vous devez enregistrer le module SharePoint à l'aide de la commande suivante.

   Add-PSSnapin Microsoft.SharePoint.PowerShell
   

   Activez la session PowerShell pour modifier le service d'émission de jeton de sécurité pour la batterie SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Créez l'objet service d'émission de jeton de sécurité de confiance, où OrganizationName représente le nom unique de l'organisation Microsoft Dynamics 365 et CrmServer représente le nom du serveur Web IIS où le rôle Serveur d'applications Web Microsoft Dynamics 365 est installé et -Name “crm” sert à nommer le serveur d’émission de jeton de sécurité (STS).

   Important

   • La connexion de plusieurs organisations Microsoft Dynamics 365 à une batterie de serveurs Microsoft SharePoint 2013 n'est pas prise en charge. Vous pouvez toutefois connecter plusieurs organisations Microsoft Dynamics 365 à une batterie de serveursSharePoint 2016.

   • Lorsque vous exécutez la commande PowerShell New-SPTrustedSecurityTokenIssuer, vous devez spécifier le protocole HTTPS pour le point de terminaison des métadonnées Microsoft Dynamics 365 lorsque le site Web de l'application Microsoft Dynamics 365 a uniquement des liaisons HTTPS ou HTTPS et HTTP, comme l'exemple suivant.

   New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
   

3. Enregistrez Microsoft Dynamics 365 avec la collection de sites SharePoint .

   Pour exécuter les commandes suivantes, vous devez spécifier deux paramètres :

   • L'URL de la collection de sites SharePoint en local. Dans l'exemple ci-dessous, https://sharepoint.contoso.com/sites/crm/ est utilisé pour l'URL de la collection de sites.

   • CrmRealmId représente l'ID de l'organisation Microsoft Dynamics 365 à utiliser pour la gestion de documents avec SharePoint.Pour plus d'informations :Obtenir l'ID de domaine Dynamics 365

   Important

   Pour réaliser ces commandes, le proxy d'applications de service de gestion des applications SharePoint doit exister et être en cours d'exécution. Pour savoir comment démarrer et configurer le service, voir la rubrique Configuration des paramètres d'abonnement et des applications de service de gestion d'applications dans Configuration d'un environnement pour les applications pour SharePoint (SharePoint 2013).

   $CrmRealmId = "CRMRealmId"
   
   $Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
   
   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
   

4. Accordez à l'application Microsoft Dynamics 365 l'accès au site SharePoint.

   Notes

   Dans l'exemple ci-dessous, l'application Microsoft Dynamics 365 est autorisée à accéder à la collection de sites SharePoint spécifiée à l'aide du paramètre de collection de site –Scope. Le paramètre Étendue accepte les options suivantes. Utilisez l'étendue la plus appropriée pour votre configuration SharePoint :

   • site. Autorise l'application Dynamics 365 à accéder uniquement au site Web SharePoint spécifié. Il n'autorise pas l'accès aux sous-sites du site nommé.

   • sitecollection. Autorise l'application Dynamics 365 à accéder à tous les sites Web et sous-sites de la collection de sites SharePoint spécifiée.

   • sitesubscription. Autorise l'application Dynamics 365 à accéder à tous les sites Web de la batterie SharePoint, notamment l'ensemble des collections de sites, sites Web et sous-sites.

   $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
   #"Set up claims-based authentication mapping"
   New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Exécuter l'Assistant Activer l'intégration SharePoint basée sur un serveur

1. Dans l'application Microsoft Dynamics 365, accédez à Paramètres > Gestion des documents.

2. Dans la zone Gestion des documents, cliquez sur Activer l'intégration SharePoint basée sur un serveur.

3. Consultez les informations, puis cliquez sur Suivant.

4. Pour les sites SharePoint, cliquez sur Local, puis sur Suivant.

5. Dans la phase Préparer les sites, entrez les informations suivantes :

   • L'URL de la collection de sites SharePoint en local, comme https://sharepoint.contoso.com/sites/crm. Le site doit être configuré pour TLS/SSL.

   • ID de domaine SharePoint.Obtenir l'ID de domaine SharePoint

6. Cliquez sur Suivant.

7. La section de validation des sites apparaît. Si tous les sites sont valides, cliquez sur Activer. Si un ou plusieurs sites ne sont pas valides, voir Dépannage de l'intégration basée sur serveur entre Dynamics 365 Server (local) et SharePoint Server local.

Sélectionnez les entités à inclure dans la gestion des documents

Par défaut, les entités Compte, Article, Prospect, Produit, Devis Documentation commerciale sont incluses. Vous pouvez ajouter ou supprimer les entités qui seront utilisées pour la gestion de documents avec SharePoint dans Paramètres de gestion des documentsMicrosoft Dynamics 365.Accédez à Paramètres > Gestion des documents. (Comment y accéder ?)Pour plus d'informations :Centre de clients : Activation de la gestion des documents sur des entités

Ajouter l'intégration de OneDrive for Business

Une fois que vous avez effectué la configuration de l'intégration basée sur serveur pour Microsoft Dynamics 365 et SharePoint en local, vous pouvez également intégrer OneDrive Entreprise. Avec l'intégration Microsoft Dynamics 365 et OneDrive Entreprise, les utilisateurs Microsoft Dynamics 365 peuvent créer et gérer des documents privés avec OneDrive Entreprise. Ces documents sont accessibles dans Dynamics 365 dès que l'administrateur système a activé OneDrive Entreprise.

Activer OneDrive Entreprise

Sur Windows Server où SharePoint Server en local est exécuté, ouvrez le shell de gestion SharePoint et exécutez les commandes suivantes.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Dépannage de l'intégration basée sur serveur entre Dynamics 365 Server (local) et SharePoint Server local

Pour plus d’informations sur la résolution des problèmes liés à l'Assistant Activer l'intégration SharePoint basée sur un serveur et l'affichage des journaux de surveillance SharePoint, voir Dépannage l'authentification basée sur serveur.

Problèmes connus

Pour la gestion documentaire avec la résolution des problèmes SharePoint et prendre connaissance des problèmes connus, voir Dépannage l'authentification basée sur serveur.

À propos du mappage de l'authentification basée sur les revendications

Par défaut, l'authentification basée serveur entre Dynamics 365 (local) et SharePoint en local utilise l'identificateur de sécurité de l'utilisateur pour authentifier chaque utilisateur. Si Microsoft Dynamics 365 Server et SharePoint sont situés dans différents domaines Active Directory n'ayant pas une approbation, vous devez utiliser un mappage personnalisé de l'authentification basée sur les revendications, comme l'adresse de messagerie de l'utilisateur.Pour plus d'informations :Définition d'un mappage de revendication personnalisé pour l'intégration basée sur SharePoint

Utilisation des certificats numériques

La procédure suivante crée un fichier d'échange d'informations personnelles (.pfx).

1. Sur un ordinateur ayant accès au certificat à utiliser pour l'authentification de serveur à serveur, cliquez sur Démarrer, cliquez sur Exécuter, tapez MMC, puis appuyez sur Entrée.

2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

3. Dans la liste des composants logiciels enfichables disponibles, cliquez sur Certificats, cliquez sur Ajouter, cliquez sur Compte d'ordinateur, cliquez sur Suivant, cliquez sur Terminer pour sélectionner l'ordinateur local, puis cliquez sur OK.

4. Développez Certificats, Personnel, puis cliquez sur Certificats.

5. Cliquez avec le bouton droit sur le certificat que vous souhaitez utiliser pour créer un fichier de certificat personnel, pointez sur Toutes les tâches, puis cliquez sur Exporter.

6. Cliquez sur Suivant, cliquez sur Oui pour exporter la clé privée, vérifiez que les options suivantes sont activées, puis cliquez sur Suivant.

   • Ajoutez tous les certificats dans le chemin de certification si possible

   • Exporter toutes les propriétés étendues

7. Cliquez sur Parcourir et entrez un emplacement et le nom du fichier .pfx, puis cliquez sur Enregistrer.

8. Cliquez sur Suivant, puis sur Terminer.

Obtenir l'ID de domaine SharePoint

Exécutez la commande PowerShell suivante dans le shell de gestion de SharePoint, où https://sharepoint.contoso.com/sites/crm/ représente l'URL de la collection de sites SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Vous pouvez également rechercher l'ID de domaine SharePoint dans les autorisations relatives à l'application de site de la collection de sites SharePoint.

1. Connectez-vous à la collection de sites SharePoint à utiliser pour la gestion de documents avec Microsoft Dynamics 365.

2. Accédez à Paramètres du site > Autorisations relatives à l'application du site.

3. L'ID de domaine est affiché sous Identificateur d'applications, à droite du signe @. Copiez-le dans le Presse-papiers. Dans l'Assistant Activer l'intégration SharePoint basée sur un serveur, collez uniquement le GUID. N'effectuez pas le collage dans une partie de l'identificateur à gauche de @.

© 2017 Microsoft. Tous droits réservés. Copyright