Konfigurere serverbaseret godkendelse med Microsoft Dynamics 365 (i det lokale miljø) og SharePoint i det lokale miljø

 

Udgivet: februar 2017

Gælder for: Dynamics 365 (on-premises), Dynamics CRM 2016

Dette emne beskriver, hvordan du konfigurerer en serverbaseret integration mellem Dynamics 365 (i det lokale miljø) i det lokale miljø og Microsoft SharePoint i det lokale miljø.

Dette emne indeholder

Konfigurere serverbaseret integration med Dynamics 365 og SharePoint

Tilføje OneDrive for Business-integration

Fejlfinding af integration af Dynamics 365 Server (i det lokale miljø) i den serverbaserede SharePoint-server i det lokale miljø

Om tilknytning af kravsbaseret godkendelse

Arbejde med digitale certifikater

Hent SharePoint-domæne-id'et

Konfigurere serverbaseret integration med Dynamics 365 og SharePoint

Følg trinene i nævnte rækkefølge for at oprette Dynamics 365 (i det lokale miljø) med Microsoft SharePoint Server i det lokale miljø.

Vigtigt

• Hvis en opgave ikke er fuldført, f.eks. hvis en PowerShell-kommando returnerer en fejlmeddelelse, skal problemet løses, før du fortsætter til næste kommando, opgave eller trin.

• Når du har aktiveret serverbaseret SharePoint-integration, kan du ikke vende tilbage til den tidligere klientbaserede godkendelsesmetode. Du kan derfor ikke bruge Komponent til Microsoft Dynamics CRM-liste, når du har konfigureret din Dynamics 365-organisation for serverbaseret SharePoint-integration.

Kontrol af forudsætninger

Før du konfigurerer Dynamics 365 (i det lokale miljø) og SharePoint (i det lokale miljø) for serverbaseret integration, kræves følgende tilladelser og forudsætninger.

Påkrævede tilladelser

Microsoft Dynamics 365

• Systemadministrator-sikkerhedsrolle – dette er påkrævet for at køre Aktivér guiden Serverbaseret SharePoint-integration i Microsoft Dynamics 365.

• Hvis du bruger et selvsigneret certifikat til evalueringsformål, skal du have medlemskab af den lokale administratorgruppe på den computer, hvor Microsoft Dynamics 365 Server kører.

SharePoint lokalt

• Medlemskab af gruppen Farmadministratorer – dette er påkrævet for at køre de fleste af Windows PowerShell-kommandoerne på SharePoint-serveren.

SharePoint-forudsætninger

• En af følgende SharePoint-versioner:

  • SharePoint 2016 (til det lokale miljø).

    Bemærk

    December 2016 – opdatering til Dynamics 365 (online og det lokale miljø) kræves for at bruge SharePoint 2016 med Dynamics 365 (i det lokale miljø).Flere oplysninger:December 2016-opdateringen til Dynamics 365 (online og til det lokale miljø)

  • Microsoft SharePoint 2013 til det lokale miljø med Service Pack 1 (SP1) eller nyere med følgende opdateringer.

    • Hotfix KB2883081 til SharePoint Foundation 2013 August 12, 2014 (Sts-x-none.msp)

    • Følgende opdateringer er forudsætninger for KB2883081 og kan også være nødvendig.

      • https://support2.microsoft.com/kb/2768000

      • https://support.microsoft.com/kb/2767999

      • https://support.microsoft.com/kb/2880963

• Konfiguration af SharePoint

  • SharePoint skal være konfigureret til en enkelt farm udrulning.

  • For at bruge standardtilknytning af kravsbaseret godkendelse skal Active Directory-domænet, hvor SharePoint-serveren og Microsoft Dynamics 365-serveren er placeret, enten være den samme, eller domænet, hvor SharePoint-serveren er placeret, skal have tillid til domænet, hvor Microsoft Dynamics 365 Server er placeret. Flere oplysninger: Om tilknytning af kravsbaseret godkendelse

  • SharePoint-webstedet skal være konfigureret til at bruge TLS/SSL (HTTPS), og certifikatet skal være udstedt af et offentligt nøglecenter.Flere oplysninger:SharePoint: om sikre kanal SSL-certifikater

  • App Management Service-programproxyen skal være oprettet og startet.Flere oplysninger:Konfigurer et miljø til apps til SharePoint

  • Et brugerprofiltjenesteprogram skal være konfigureret og startet.Flere oplysninger:Oprette, redigere eller slette tjenesteprogrammer til brugerprofiler i SharePoint Server 2013

  • SharePoint-søgetjenesten skal være aktiveret i forbindelse med deling af dokumenter.Flere oplysninger:Opret og konfigurer et søgetjenesteprogram i SharePoint-server

  • For dokumentstyring i forbindelse med brug af Microsoft Dynamics 365-mobilapps skal SharePoint-serveren i det lokale miljø være tilgængelig via internettet.

  • For at give brugerne mulighed for at oprette SharePoint-dokumentbiblioteker fra Dynamics 365 er følgende tilladelser og konfigurationer påkrævede:

    • Dynamics 365-brugerens Active Directory-konto skal være medlem af gruppen Medlemmer af webstedet i den SharePoint-gruppe af websteder, hvor dokumenter gemmes.

    • Som standard bruger den kravsbaserede godkendelsestilknytning brugerens primære Dynamics 365-mailadresse og brugerens lokale SharePoint-arbejdsmailadresse til tilknytningen. Når denne tilknytning bruges, skal brugerens mailadresser stemme overens mellem de to systemer. Flere oplysninger: Om tilknytning af kravsbaseret godkendelse

Andre forudsætninger og begrænsninger

• X509 digitalt certifikat, der skal bruges til serverbaseret godkendelse mellem Microsoft Dynamics 365 Server og SharePoint-serveren. Certifikatnøgler skal mindst have kryptering med 2048-bit. I de fleste tilfælde skal dette certifikat være udstedt af et nøglecenter, der er tillid, men du kan bruge et selvsigneret certifikat til evalueringsformål.

• Identiteten for CRMAppPool-programgruppen skal have læseadgang til det x509-certifikat, der skal bruges til server-baseret godkendelse i Microsoft Dynamics 365 Server og SharePoint server. Du kan bruge Certificates MMC snap-in-programmet til at give denne adgang.

• Hvis du bruger Microsoft SharePoint 2013 for hver SharePoint-farm, kan der kun konfigureres én Microsoft Dynamics 365-organisation til serverbaseret integration. Du kan dog forbinde mere end én Microsoft Dynamics 365-organisation til en SharePoint 2016-serverfarm.

Forberede Microsoft Dynamics 365 Server til serverbaseret integration

CertificateReconfiguration.ps1 er et Windows PowerShell-script, der installerer et certifikat til det lokale certifikatlager, giver den angivne Microsoft Dynamics 365 asynkrone behandlingstjeneste identitetsadgang til certifikatet og opdaterer Microsoft Dynamics 365 Server til at bruge certifikatet.

Føj server til server-certifikatet til det lokale certifikatlager og Microsoft Dynamics 365-konfigurationsdatabasen

1. Åbn en PowerShell-kommandosession på alle servere, hvor Microsoft Dynamics 365 Server alt i én-serverrollen er installeret. For andre installationer med serverroller, hvor du kører cmdletten for at installere certifikatet, afhænger af hvilken version af Microsoft Dynamics 365 du har.

   • For December 2016 – Service Pack til Microsoft Dynamics 365 (det lokale miljø) og nyere versioner skal du køre denne kommando på alle servere, hvor Webprogramserver-rollen kører.

   • For Microsoft Dynamics CRM 2016 Service Pack 1-versioner og nyere versioner skal du køre denne kommando på alle servere, hvor Asynkron tjeneste-serverrollen kører.

2. Ret placeringen til mappen <drev>: \Program Files\Microsoft Dynamics CRM\Tools.

3. Kør CertificateReconfiguration.ps1 Windows PowerShell-scriptet på følgende måde:

   • certificateFilepath\Personalcertfile.pfx. Obligatorisk parameter, der angiver den fulde sti til filen til udveksling af personlige oplysninger (.pfx). Flere oplysninger: Arbejde med digitale certifikater

   • adgangskodepersonal_certfile_password. Obligatorisk parameter, der angiver adgangskoden til det private certifikat.

   • certificateType S2STokenIssuer. Obligatorisk parameter, der angiver certifikattypen. For Microsoft Dynamics 365 og SharePoint serverbaseret integration understøttes kun S2STokenIssuer.

   • serviceAccount 'DomainName\UserName' eller 'Netværkstjeneste'.

     • For December 2016 – Service Pack til Microsoft Dynamics 365 (det lokale miljø) og nyere versioner:

       serviceAccount 'contoso\CRMWebAppServer' eller 'Netværkstjeneste'. Obligatorisk parameter, der angiver identiteten af Webprogramserver-rollen. Identiteten er enten en domænebrugerkonto som contoso\CRMWebAppServer eller Netværkstjeneste. Identiteten vil få tilladelse til certifikatet.

     • For Microsoft Dynamics CRM 2016 Service Pack 1-versioner og nyere versioner:

       serviceAccount 'contoso\CRMAsyncService' eller 'Netværkstjeneste'. Obligatorisk parameter, der angiver identiteten af Asynkron tjeneste. Identiteten er enten en domænebrugerkonto som contoso\CRMAsyncService eller Netværkstjeneste. Identiteten vil få tilladelse til certifikatet.

   • updateCrm. Føjer certifikatoplysningerne til Microsoft Dynamics 365-konfigurationsdatabasen.

     Vigtigt

     Selvom du har flere Webprogramserver- eller Asynkron tjeneste-roller installeret, skal du kun køre kommandoen med parameteren updateCrm én gang.

   • storeFindType FindBySubjectDistinguishedName. Angiver typen af certifikatlager. Som standard er denne værdi FindBySubjectDistinguishedName, og den anbefales, når du kører scriptet.

   Vigtigt

   Selvom det er valgfrit at bruge parametrene updateCrm og StoreFindType til at køre kommandoen, er disse parametre nødvendige ved serverbaseret SharePoint-integration, så certifikatoplysningerne føjes til certificeringsdatabasen.

   Eksempel

   .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
   

Forberede SharePoint-farmen til serverbaseret integration

Hente ressource-id for Dynamics 365

1. Start Aktivér guiden Serverbaseret SharePoint-integration.Gå til Indstillinger > Dokumentstyring. (Hvordan kommer jeg dertil?)

2. Klik på Næste, klik på Lokalt og derefter på Næste.

3. Id'et vises ud for Ressource-id for Dynamics 365 på siden.

   Tip

   Gem ressource-id'et for Dynamics 365 i en tekstfil på en sikker netværksshare eller i et skybaseret lager. Derefter kan du nemt kan hente det fra den placering, hvor du kører Aktivér guiden Serverbaseret SharePoint-integration.

På SharePoint-serveren i det lokale miljø skal du i SharePoint Management Shell køre disse PowerShell-kommandoer i den angivne rækkefølge.

Forberede SharePoint-serveren til Dynamics 365 Server-godkendelse

1. Hvis du bruger et PowerShell-management shell, der ikke er SharePoint-Management Shell, skal du registrere SharePoint-modulet ved hjælp af følgende kommando.

   Add-PSSnapin Microsoft.SharePoint.PowerShell
   

   Aktiver PowerShell-sessionen for at foretage ændringer af sikkerhedstokentjenesten for SharePoint-farmen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Opret objekt for sikkerhedstokentjeneste, der er tillid til, hvor Organisationsnavn er det entydige navn på Microsoft Dynamics 365-organisationen, og CrmServer er navnet på den IIS-webserver, hvor Microsoft Dynamics 365-webprogrammets serverrolle er installeret, og -Name "crm" bruges til at navngive sikkerhedstokenserveren (STS).

   Vigtigt

   • Tilknytning af mere end én Microsoft Dynamics 365-organisation til en enkelt Microsoft SharePoint 2013-serverfarm understøttes ikke. Du kan dog forbinde mere end én Microsoft Dynamics 365-organisation til en SharePoint 2016-serverfarm.

   • Når du kører kommandoen New-SPTrustedSecurityTokenIssuer PowerShell, skal du angive HTTPS for slutpunktet for Microsoft Dynamics 365-metadata, når Microsoft Dynamics 365-programmets websted kun har HTTPS- eller HTTPS- og HTTP-bindinger som f.eks. i følgende eksempel.

   New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
   

3. Registrer Microsoft Dynamics 365 med SharePoint gruppe af websteder.

   Hvis du vil køre følgende kommandoer, skal du angive to parametre:

   • URL-adressen til den lokale SharePoint-gruppe af websteder i det lokale miljø. I eksemplet her bruges https://sharepoint.contoso.com/sites/crm/ til URL-adressen til gruppen af websteder.

   • CrmRealmId er id'et for den Microsoft Dynamics 365-organisation, du vil bruge til dokumentstyring med SharePoint.Flere oplysninger:Hente ressource-id for Dynamics 365

   Vigtigt

   For at udføre disse kommandoer skal SharePoint App Management Service-programproxy findes og køre. Du kan finde flere oplysninger om, hvordan du starter og konfigurere tjenesten, i emnet Konfiguration af indstillinger for abonnement og App Management Service-programmer i Konfigurere et miljø til apps til SharePoint (SharePoint 2013).

   $CrmRealmId = "CRMRealmId"
   
   $Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
   
   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
   

4. Giv Microsoft Dynamics 365-programmet adgang til SharePoint-webstedet.

   Bemærk

   I nedenstående eksempel har Microsoft Dynamics 365-programmet fået tilladelse til den angivne gruppe af SharePoint-websteder ved hjælp af gruppeparameteren for webstedets omfang. Parameteren Omfang accepterer følgende indstillinger. Brug det omfang, der passer bedst til din konfiguration af SharePoint:

   • site. Giver kun Dynamics 365-programmet tilladelse til det angivne SharePoint-websted. Det giver ikke tilladelse til at eventuelle underordnede websteder under det navngivne websted.

   • sitecollection. Giver Dynamics 365-programmet tilladelse til alle websteder og underordnede websteder inden for den angivne gruppe af SharePoint-websteder.

   • sitesubscription. Giver Dynamics 365-programmet tilladelse til alle websteder i SharePoint-farmen, herunder alle grupper af websteder, websteder og underordnede websteder.

   $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
   #"Set up claims-based authentication mapping"
   New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Køre Aktivér guiden Serverbaseret SharePoint-integration

1. Åbn Microsoft Dynamics 365-appen, og gå til Indstillinger > Dokumentstyring.

2. I området Dokumentstyring skal du klikke på Aktivér serverbaseret SharePoint-integration.

3. Gennemse oplysningerne, og klik derefter på Næste.

4. For SharePoint-webstederne skal du klikke på Lokalt og derefter klikke på Næste.

5. Angiv følgende oplysninger i fasen Forbered websteder:

   • SharePointURL-adressen til den lokale gruppe af websteder, f.eks. https://sharepoint.contoso.com/sites/crm. Webstedet skal være konfigureret til at bruge TLS/SSL.

   • SharePoint-domæne-id.Hent SharePoint-domæne-id'et

6. Klik på Næste.

7. Afsnittet om validering af websteder vises. Hvis alle websteder er gyldige, skal du klikke på Aktivér. Et eller flere websteder er ugyldige, skal du se under Fejlfinding af integration af Dynamics 365 Server (i det lokale miljø) i den serverbaserede SharePoint-server i det lokale miljø.

Vælg de objekter, som skal indgå i dokumentstyring

Som standard er konto-, artikel-, kundeemne-, produkt-, tilbuds- og salgsmaterialeobjekterne inkluderet. Du kan tilføje eller fjerne de enheder, der skal bruges til dokumentstyring med SharePoint i Indstillinger for dokumentstyring i Microsoft Dynamics 365.Gå til Indstillinger > Dokumentstyring. (Hvordan kommer jeg dertil?)Flere oplysninger:Kundecenter: Aktivér dokumentstyring for objekter

Tilføje OneDrive for Business-integration

Når du har fuldført Microsoft Dynamics 365 og SharePoint konfiguration af lokal serverbaseret integration, kan du også integrere OneDrive for Business.Microsoft Dynamics 365-brugere kan oprette og administrere private dokumenter vha. OneDrive for Business med Microsoft Dynamics 365OneDrive for Business-integration. Du kan få adgang til disse dokumenter i Dynamics 365, når systemadministratoren har aktiveret OneDrive for Business.

Aktivér OneDrive for Business

På Windows Server, hvor SharePoint Server kører lokalt, skal du åbne SharePoint Management Shell og køre følgende kommandoer.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Fejlfinding af integration af Dynamics 365 Server (i det lokale miljø) i den serverbaserede SharePoint-server i det lokale miljø

Du kan finde flere oplysninger om fejlfinding af Aktivér guiden Serverbaseret SharePoint-integration og se SharePoint-overvågningslog, skal du se Fejlfinding i forbindelse med server-baseret godkendelse.

Kendte problemer

Oplysninger om styring af dokumentation med SharePoint-fejlfinding og kendte problemer finder du i Fejlfinding i forbindelse med server-baseret godkendelse.

Om tilknytning af kravsbaseret godkendelse

Som standard bruger serverbaseret godkendelse mellem Dynamics 365 (i det lokale miljø) og SharePoint på stedet brugerens sikkerheds-id (SID) til at godkende hver enkelt bruger. Hvis Microsoft Dynamics 365 Server og SharePoint er placeret i forskellige Active Directory-domæner, der ikke har et tillidsforhold, skal du bruge en brugerdefineret kravsbaseret godkendelsestilknytning, f.eks. brugerens mailadresse.Flere oplysninger:Definere brugerdefineret kravtilknytning for serverbaseret SharePoint-integration

Arbejde med digitale certifikater

I følgende procedure oprettes en Exchange-fil (.pfx) til personlige oplysninger.

1. Klik på en computer, der har adgang til det certifikat, du vil bruge til server til server-godkendelse, klik på Start, klik på Kør, skriv MMC, og tryk derefter på Enter.

2. Klik på Filer, klik derefter på Tilføj/fjern snap-in.

3. På listen over tilgængelige snap-ins skal du klikke på Certifikater, klikke på Tilføj, klikke på Computerkonto, klikke på næste, klikke på Udfør for at vælge den lokale computer og derefter klikke på OK.

4. Udvid Certifikater, udvid Personlig, og klik derefter på Certifikater.

5. Højreklik på det certifikat, du vil brug til at oprette en personlig certifikatfil med, peg på Alle opgaver, og klik derefter på Eksportér.

6. Klik på Næste, klik på Ja for at eksportere den private nøgle. Sørg for, at følgende indstillinger er markeret, og klik derefter på Næste.

   • Medtag alle certifikater i certifikatstien, hvis det er muligt

   • Eksportér alle udvidede egenskaber

7. Klik på Gennemse, og angiv en placering og et filnavn for .pfx-filen, og klik derefter på Gem.

8. Klik på Næste, og klik derefter på Udfør.

Hent SharePoint-domæne-id'et

Kør følgende PowerShell-kommando i SharePoint-administrationsshell, hvor https://sharepoint.contoso.com/sites/crm/ er URL-adressen til gruppen af SharePoint-websteder.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Du kan også finde ressource-id'et for SharePoint i indstillingen for webstedets apptilladelser for gruppen af SharePoint-websteder.

1. Log på den SharePoint-gruppe af websteder, du vil bruge til dokumentstyringen med Microsoft Dynamics 365.

2. Gå til indstillinger for websted > Tilladelser til websteds-apps.

3. Ressource-id'et vises under App-id til højre for @-tegnet. Du kan kopiere det til Udklipsholder. I Aktivér guiden Serverbaseret SharePoint-integration skal du kun indsætte GUID'et. Indsæt ikke i nogen del af id'et til venstre for @.

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret