Konfiguruj uwierzytelnianie oparte na serwerze z Dynamics CRM Online i programem SharePoint w wersji lokalnej
Data opublikowania: listopad 2016
Dotyczy: Dynamics CRM 2015
Wprowadzona z Microsoft Dynamics CRM Online 2015, aktualizacja 1, oparte na serwerze integracja Microsoft SharePoint dla zarządzania dokumentami może być teraz używana do łączenia Microsoft Dynamics CRM Online z SharePoint w wersji lokalnej. Podczas korzystania z uwierzytelniania opartego na serwerze Usługa kontroli dostępu Azure Active Directory (ACS) jest używana jako pośrednik zaufania więc użytkownicy nie muszą się logować w SharePoint. Ponadto formant listy, który wymaga przestarzałej funkcji piaskownicy SharePoint nie musi wyświetlać dokumentów SharePoint w widokach Microsoft Dynamics 365.
.jpeg "CRM Online i SharePoint (wersja lokalna)")
Wymagane uprawnienia
Office 365
- Członkostwo w grupie Administratorzy globalni usługi Office 365. Jest to wymagane dla dostępu na poziomie administracyjnym do subskrypcji Microsoft Office 365 oraz dla uruchamiania poleceń cmdlet Microsoft AzurePowerShell.
Microsoft Dynamics CRM Online
Uprawnienie Uruchom Kreatora integracji z programem SharePoint. Jest to wymagane do uruchomienia Kreatora uwierzytelniania opartego na serwerze w Microsoft Dynamics 365.
Domyślnie rola zabezpieczeń Administrator systemu ma to uprawnienie.
SharePoint wersja lokalna
- Członkostwo w grupie Administratorzy farmy. Jest to wymagane, aby uruchamiać większość poleceń PowerShell na serwerze SharePoint.
Konfiguruj uwierzytelnianie między serwerami z CRM Online i SharePoint w wersji lokalnej
Wykonaj kroki w podanej kolejności, aby skonfigurować CRM Online z SharePoint 2013 w wersji lokalnej.
Ważne
Kroki opisane w tym miejscu należy realizować w podanej kolejności. Jeśli zadanie nie zostanie ukończone, jak polecenie PowerShell, które zwraca komunikat o błędzie, problem musi zostać rozwiązany przed przejściem do następnego polecenia, zadania lub kroku.
Sprawdź wymagania wstępne
Przed skonfigurowaniem Microsoft Dynamics CRM Online i SharePoint w wersji lokalnej do uwierzytelniania opartego na serwerze, muszą zostać spełnione następujące wymagania wstępne.
Wymagania wstępne programu SharePoint
Microsoft SharePoint 2013 (wersja lokalna) z dodatkiem Service Pack 1 (SP1) lub nowszym
Ważne
Wersje Microsoft SharePoint Foundation 2013 nie są obsługiwane do użytku z zarządzaniem dokumentami Microsoft Dynamics 365.
Poprawka KB2883081 dla programu SharePoint Foundation 2013, 12 sierpnia 2014 (Sts-x-none.msp)
Ważne
Następujące aktualizacje stanowią wymagania wstępne dla KB2883081 i mogą być wymagane.
Konfiguracja oprogramowania SharePoint
SharePoint musi być skonfigurowany tylko dla pojedynczego wdrożenia farmy.
Witryna SharePoint musi być dostępna przez Internet. Wsteczny serwer proxy może być również wymagany dla uwierzytelniania SharePoint. Więcej informacji: Konfigurowanie urządzenia wstecznego serwera proxy dla hybrydowego programu SharePoint Server 2013
Witryna SharePoint musi być skonfigurowany do używania protokołu SSL (HTTPS), a certyfikat musi zostać wydany przez publiczny główny urząd certyfikacji.Więcej informacji:SharePoint: Certyfikaty bezpiecznego kanału SSL
Wiarygodny użytkownik do użycia dla mapowania uwierzytelniania opartego na oświadczeniach między SharePoint i Microsoft Dynamics 365.Więcej informacji:Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach
Inne wymagania wstępne
Licencja SharePoint Online. Autoryzacja na serwerze Microsoft Dynamics CRM Online z SharePoint w wersji lokalnej musi mieć główną nazwę usługi SharePoint (SPN) zarejestrowaną w Azure Active Directory. Aby to osiągnąć wymagana jest co najmniej jedna licencja użytkownika SharePoint Online. Licencja SharePoint Online może pochodzić od licencji dla pojedynczego użytkownika i zazwyczaj pochodzi od jednej z poniższych:
Subskrypcja SharePoint Online. Wystarczy dowolny plan SharePoint Online, nawet jeśli licencja nie została przypisana do użytkownika.
Subskrypcja Office 365, która zawiera SharePoint Online. Na przykład, jeśli masz Office 365 E3, masz odpowiednią licencję, nawet jeśli nie została ona przypisana do użytkownika.
Aby uzyskać więcej informacji dotyczących tych planów, zobacz Office 365: Wybierz plan i Porównywanie opcji programu SharePoint
Następujące funkcje oprogramowania są wymagane do uruchomienia poleceń cmdlet PowerShell opisanych w tym temacie.
Asystent logowania w witrynie Microsoft Online Services dla specjalistów IT, wersja Beta
Moduł Azure Active Directory dla środowiska Windows PowerShell (wersja 64-bitowa)
Ważne
W czasie, gdy powstaje ten tekst, występuje problem z wersją RTW Asystenta logowania w witrynie Microsoft Online Services dla specjalistów IT. Do momentu rozwiązania problemu zalecamy korzystanie z wersji Beta.Więcej informacji:Fora Microsoft Azure: Nie można zainstalować modułu Azure Active Directory dla Windows PowerShell. Nie zainstalowano MOSSIA.
Odpowiedni typ mapowania uwierzytelniania opartego na oświadczeniach do użycia podczas mapowania tożsamości między Microsoft Dynamics CRM Online i SharePoint w wersji lokalnej. Domyślnie używany jest adres e-mail.Więcej informacji:Przyznaj uprawnienia Microsoft Dynamics CRM do dostępu do programu SharePoint i skonfiguruj mapowanie uwierzytelniania opartego na oświadczeniach
Aktualizacja serwera SharePoint SPN usługi ACS
Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom te polecenia PowerShell w podanej kolejności.
Przygotuj sesję PowerShell.
Następujące polecenia cmdlet umożliwiają komputerowi odbieranie poleceń zdalnych i dodają moduły Office 365 do sesji PowerShell. Aby uzyskać więcej informacji na temat poleceń cmdlets, zobacz Podstawowe polecenia cmdlet programu Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -forcePołącz z Office 365.
Po uruchomieniu polecenia Connect-MsolService musisz podać prawidłowy identyfikator Konto Microsoft z członkowstwem administratora globalnego Office 365 dla wymaganej licencji SharePoint Online.
Aby uzyskać szczegółowe informacje o wszystkich poleceniach Azure Active DirectoryPowerShell wymienionych poniżej, zobacz MSDN: Zarządzanie Azure AD przy użyciu środowiska Windows PowerShell.
$msolcred = get-credential connect-msolservice -credential $msolcredSkonfiguruj nazwę hosta SharePoint.
Wartość ustawiana dla zmiennej HostName musi być pełną nazwą hosta zbioru witryn SharePoint. Nazwa hosta musi pochodzić z adresu url zbioru witryn. Wielkość użytych w niej liter jest ważna. W tym przykładzie adres url zbioru witryn to https://SharePoint.constoso.com/sites/salesteam, więc nazwą hosta jest SharePoint.contoso.com.
$HostName = "SharePoint.contoso.com"Pobierz identyfikator obiektu (najemcy) Office 365 i główną nazwę usługi (SPN) SharePoint Server.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNamesSkonfiguruj główną nazwę usługi SharePoint Server (SPN) w ACS.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Po zakończeniu tych poleceń nie zamykaj powłoki zarządzania programu SharePoint 2013 i przejdź do następnego kroku.
Zaktualizuj obszar programu SharePoint, aby był on zgodny z SharePoint Online
Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom to polecenie Windows PowerShell.
Poniższe polecenie wymaga członkostwa administratora farmy SharePoint i konfiguruje obszar uwierzytelniania lokalnej farmy SharePoint.
Ostrzeżenie
Uruchomienie tego polecenia zmienia obszar uwierzytelniania lokalnej farmy SharePoint. W przypadku aplikacji, które używają istniejącej usługi tokenu zabezpieczającego (STS), może to spowodować nieoczekiwane zachowania z innymi aplikacjami, które używają tokenów dostępu. Więcej informacji: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Utwórz wystawcę zaufanych tokenów zabezpieczeń dla ACS w programie SharePoint
Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom te polecenia PowerShell w podanej kolejności.
Następujące polecenia wymagają członkostwa administratorów farmy SharePoint.
Aby uzyskać szczegółowe informacje o tych poleceniach PowerShell, zobacz Użyj poleceń cmdlets środowiska Windows PowerShell do administrowania zabezpieczeniami w SharePoint 2013.
Włącz sesję PowerShell, aby wprowadzić zmiany w usłudze tokenu zabezpieczającego dla farmy SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()Ustaw punkt końcowy metadanych.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextIdUtwórz nowy proxy aplikacji sterowania tokenem w Usługa kontroli dostępu.
New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroupUwaga
Polecenie New- SPAzureAccessControlServiceApplicationProxy może zwrócić komunikat o błędzie wskazujący, że serwer proxy aplikacji ACS o tej samej nazwie już istnieje. Jeśli serwer proxy aplikacji ACS o tej nazwie już istnieje, możesz zignorować ten błąd.
Utwórz wystawcę sterowania nowym tokenem w SharePoint w wersji lokalnej dla Usługa kontroli dostępu
$acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Przyznaj uprawnienia Microsoft Dynamics CRM do dostępu do programu SharePoint i skonfiguruj mapowanie uwierzytelniania opartego na oświadczeniach
Na lokalnym serwerze SharePoint, w powłoce zarządzania programu SharePoint 2013, uruchom te polecenia PowerShell w podanej kolejności.
Następujące polecenia wymagają członkostwa administratorów zbioru witryn SharePoint.
Zarejestruj Microsoft Dynamics 365 ze zbiorem witryn SharePoint.
Wprowadź adres URL zbioru witryn lokalnych SharePoint. W tym przykładzie używamy https://sharepoint.contoso.com/sites/crm/.
Ważne
Aby ukończyć to polecenie, musi istnieć i działać serwer proxy aplikacji zarządzania aplikacji SharePoint. Aby uzyskać więcej informacji dotyczących sposobu uruchamiania i konfigurowania usługi, zobacz Konfigurowanie ustawień subskrypcji oraz podtemat Aplikacje usługi zarządzania aplikacją w Konfigurowanie środowiska dla aplikacji dla programu SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"Przyznaj aplikacji Microsoft Dynamics 365 dostęp do witryny SharePoint. Zastąp https://sharepoint.contoso.com/sites/crm/ adresem URL Twojej witryny SharePoint.
Uwaga
W poniższym przykładzie aplikacja Dynamics 365 otrzymuje uprawnienie do określonego zbioru witryny SharePoint przy użyciu parametru –Zakres site collection. Parametr Zakres akceptuje następujące opcje. Wybierz zakres najbardziej odpowiedni dla Twojej konfiguracji SharePoint.
-
site. Udziela aplikacji Dynamics 365 uprawnienia tylko do określonej witryny sieci Web SharePoint. Nie udziela uprawnień do żadnych podwitryn witryny.
-
sitecollection. Udziela aplikacji Dynamics 365 uprawnienia do wszystkich witryn i podwitryn w określonym zbiorze witryn SharePoint.
-
sitesubscription. Udziela aplikacji Dynamics 365 uprawnienia do wszystkich witryn farmy programu SharePoint, włącznie z zbiorami witryn, witrynami i podwitrynami.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"-
Ustaw typ mapowania uwierzytelniania opartego na oświadczeniach.
Ważne
Domyślnie, mapowanie uwierzytelniania opartego na oświadczeniach będzie używać do mapowania adresu e-mail użytkownika Konto Microsoft oraz Służbowego adresu e-mail użytkownika lokalnej wersji SharePoint. Jeśli tego używasz, adresy e-mail użytkownika w obu systemach muszą być zgodne. Aby uzyskać więcej informacji, zobacz temat Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Uruchom kreatora Włącz opartą na serwerze integrację z programem SharePoint
W aplikacji Microsoft Dynamics 365 postępuj zgodnie z poniższymi krokami.
Wybierz kolejno pozycje Ustawienia > Zarządzanie dokumentami.
W obszarze Zarządzanie dokumentami wybierz Włącz opartą na serwerze integrację z programem SharePoint.
Przejrzyj informacje, a następnie wybierz Dalej.
Dla witryn SharePoint wybierz Lokalne, a następnie wybierz Dalej.
Wprowadź adres URL zbioru witryny lokalnej wersji SharePoint, np. https://sharepoint.contoso.com/sites/crm. Witryna musi być skonfigurowana dla protokołu SSL.
Wybierz Dalej.
Pojawia się sekcja sprawdzania poprawności witryny. Jeśli wszystkie witryny zostaną uznane za prawidłowe, wybierz Włącz. Jeśli jedna lub kilka witryn zostaną uznane za nieprawidłowe, zobacz Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze.
Wybierz encje, które chcesz dołączyć do zarządzania dokumentami
Domyślnie dołączone są encje takie jak Konto, Artykuł, Potencjalny klient, Produkt, Oferta i Materiały sprzedażowe. Możesz dodawać lub usuwać encje, które będą używane do zarządzania dokumentami z SharePoint w Ustawienia zarządzania dokumentami w Microsoft Dynamics 365.Wybierz kolejno pozycje Ustawienia > Zarządzanie dokumentami.Więcej informacji:Centrum obsługi klientów: Włączanie zarządzania dokumentami dla encji
Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach
Domyślnie, mapowanie uwierzytelniania opartego na oświadczeniach będzie używać do mapowania adresu e-mail użytkownika Konto Microsoft oraz Służbowego adresu e-mail użytkownika lokalnej wersji SharePoint. Niezależnie od typu uwierzytelniania opartego na oświadczeniach, wartości, takie jak adresy e-mail, muszą być jednakowe w Microsoft Dynamics CRM Online i SharePoint. Synchronizacja katalogów Office 365 może w tym pomóc.Więcej informacji:Wdrażanie synchronizacji katalogów Office 365 (DirSync) w Microsoft Azure Aby użyć innego typu mapowania uwierzytelniania opartego na oświadczeniach, zobacz MSDN: Definiowanie niestandardowego mapowania oświadczenia dla opartej na serwerze integracji z programem SharePoint.
Ważne
Aby włączyć właściwość Służbowy adres e-mail, SharePoint w wersji lokalnej musi mieć skonfigurowaną i uruchomioną Aplikację obsługi profilu użytkownika. Aby włączyć Aplikację obsługi profilu użytkownika w SharePoint, zobacz Tworzenie, edytowanie lub usuwanie aplikacji obsługi profilu użytkownika w SharePoint Server 2013. Aby wprowadzić zmiany do właściwości użytkownika, takich jak Służbowy adres e-mail, zobacz Edytowanie właściwości profilu użytkownika. Aby uzyskać więcej informacji dotyczących Aplikacji obsługi profilu użytkownika, zobacz Omówienie aplikacji Obsługa profilu użytkownika w programie SharePoint Server 2013.
Zobacz też
Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze
Konfiguruj integrację programu SharePoint z Microsoft Dynamics CRM
© 2016 Microsoft Corporation. Wszelkie prawa zastrzeżone. Prawa autorskie