Share via

Configurar la autenticación basada en servidor con SharePoint local

  • Artículo

La integración de SharePoint basada en servidor para la administración de documentos se puede utilizar para conectar aplicaciones de involucración del cliente (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing y Dynamics 365 Project Service Automation), con SharePoint local. Cuando se usa autenticación basada en servidor, Servicios de dominio Microsoft Entra se usa como agente de confianza y los usuarios no necesitan iniciar sesión en SharePoint.

Permisos requeridos

Se requieren las siguientes suscripciones y privilegios para habilitar la gestión de documentos de SharePoint.

  • Microsoft 365 Suscripción de administrador global: esto es necesario para:

    • Acceso de nivel administrativo a la suscripción de Microsoft 365.
    • Ejecute el asistente para Habilitar la autenticación basada en servidor.
    • Ejecutar los cmdlets de AzurePowerShell.

  • Privilegio de Power Apps Ejecutar el Asistente para la integración de SharePoint. Esto es necesario para ejecutar el Asistente para Habilitar la autenticación basada en servidor.

    El rol de seguridad Administrador del sistema tiene este privilegio de forma predeterminada.

  • Para la integración local de SharePoint, pertenencia al grupo de administradores de la granja de SharePoint. Esto es necesario para ejecutar la mayoría de los comandos PowerShell en el servidor de SharePoint.

Configurar la autenticación de servidor a servidor con SharePoint local

Siga los pasos en el orden indicado para configurar las aplicaciones de involucración del cliente con SharePoint 2013 local.

Importante

Los pasos descritos aquí se deben completar en el orden indicado. Si una tarea no se finaliza, como un comando de PowerShell que devuelve un mensaje de error, el problema debe resolver antes de continuar con el siguiente comando, tarea o paso.

Verificación de los requisitos previos

Antes de configurar las aplicaciones de involucración del cliente y SharePoint local para autenticación basada en servidor, deben cumplirse los siguientes requisitos previos:

Requisitos previos de SharePoint

  • SharePoint 2013 (local) con Service Pack 1 (SP1) o una versión posterior

    Importante

    Las versiones de SharePoint Foundation 2013 no se admiten para usar con administración de documentos de aplicaciones de involucración del cliente.

  • Instale la actualización acumulativa (CU) de abril de 2019 para la familia de productos SharePoint 2013. Esta CU de abril de 2019 incluye todas las correcciones para SharePoint 2013 (incluidas todas las correcciones de seguridad de SharePoint 2013) lanzadas desde SP1. La CU de abril de 2019 no incluye SP1. Debe instalar SP1 antes de instalar la CU de abril de 2019. Más información: KB4464514 SharePoint Server 2013 abril 2019 CU

  • Configuración de SharePoint

    • Si usa SharePoint 2013, para cada granja de SharePoint, solo se puede configurar una sola aplicación de involucración del cliente para la integración basada en servidor.

    • El sitio webSharePoint debe ser accesible a través de Internet. Un proxy inverso también se puede requerir para autenticación de SharePoint. Más información: Configure un dispositivo proxy inverso para SharePoint Server 2013 híbrido

    • El sitio web de SharePoint debe configurarse para usar SSL (HTTPS) en el puerto TCP 443 (no se admiten puertos personalizados) y el certificado debe emitirlo una entidad de certificación raíz pública. Más información: SharePoint: Acerca de los certificados SSL de canal seguro

    • Una propiedad de usuario fiable para usar para la asignación de autenticación basada en notificaciones entre SharePoint y aplicaciones de involucración del usuario. Más información: Seleccionar un tipo de enlace

    • Para el uso compartido de documentos, el servicio de búsqueda de SharePoint debe estar habilitado. Más información: Crear y configurar una aplicación de servicio de búsqueda en SharePoint Server

    • Para la funcionalidad de administración de documentos al usar las aplicaciones móviles de Dynamics 365, el servidor de SharePoint local debe estar disponible a través de Internet.

Otros requisitos previos

  • Licencia de SharePoint Online. La autenticación basada en servidor de aplicaciones de involucración del cliente a SharePoint local debe tener el nombre de entidad de seguridad de servicio (SPN) de SharePoint registrado en Microsoft Entra ID. Para ello, al menos una licencia de usuario de SharePoint Online es obligatoria. La licencia de SharePoint Online pueden obtenerse de una sola licencia de usuario y se consigue a partir de una de las acciones siguientes:

    • Una suscripción a SharePoint Online. Cualquier plan de SharePoint Online es suficiente, aunque la licencia no esté asignada a un usuario.

    • Una suscripción a Microsoft 365 que incluya SharePoint Online. Por ejemplo, si tiene Microsoft 365 E3, tiene la licencia adecuada aunque esta no esté asignada a un usuario.

      Para obtener más información sobre estos planes, consulte Buscar la solución adecuada para usted y Comparar opciones de SharePoint

  • Las siguientes características del software se requieren para ejecutar los cmdlets de PowerShell descritos en este tema.

    • Microsoft Online Services - Ayudante para el inicio de sesión para los profesionales de TI Beta

    • MSOnlineExt

    • Para instalar el módulo de MSOnlineExt, escriba el siguiente comando de sesión PowerShell de administrador. PS> Install-Module -Name "MSOnlineExt"

    Importante

    En el momento de redactar este texto, hay un problema con la versión de RTW del Ayudante para el inicio de sesión de Microsoft Online Services para los profesionales de TI. Hasta resolver el problema, se recomienda usar la versión beta. Más información: Foros de Microsoft Azure: No puede instalar el Módulo Microsoft Entra para Windows PowerShell. MOSSIA no está instalado.

  • Un tipo adecuado de asignación de autenticación basada en notificaciones para usar en la asignación de identidades entre aplicaciones de involucración del cliente y SharePoint local. De forma predeterminada se usa la dirección de correo electrónico. Más información: Conceder permiso a las aplicaciones de involucración del cliente para obtener acceso a SharePoint y configurar la asignación de autenticación basada en notificaciones

Actualizar SharePoint el servidor SPN en Microsoft Entra Servicios de dominio

En el servidor local SharePoint, en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.

  1. Prepare la sesión de PowerShell.

    Los siguientes cmdlets permiten que el equipo reciba comandos remotos y agregue módulos de Microsoft 365 a la sesión de PowerShell. Para obtener más información acerca de estos cmdlets, vea Cmdlets del núcleo de Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Conéctese a Microsoft 365.

    Al ejecutar el comando Connect-MsolService, debe proporcionar una cuenta de Microsoft válida que tenga válido que tenga pertenencia al administrador global para la licencia de SharePoint Online que se requiere.

    Para obtener más información acerca de los comandos de Microsoft Entra ID PowerShell indicados aquí, consulte Administración de Microsoft Entra utilizando Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Establezca el nombre host de SharePoint.

    El valor que establece para la variable HostName debe ser el nombre de host completo de la colección de sitios de SharePoint. El nombre de host debe derivar URL de la colección de sitios y distingue mayúsculas de minúsculas. En este ejemplo, la dirección URL de la colección de sitios es <https://SharePoint.constoso.com/sites/salesteam>, por lo que el nombre de host es SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Obtenga el identificador del objeto de Microsoft 365 (inquilino) y el Nombre principal de servicio (SPN) de SharePoint Server.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Establezca el Nombre principal de servicio (SPN) de SharePoint Server en Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Después de completar estos comandos, no cierre el Shell de administración de SharePoint 2013 y continúe con el siguiente paso.

Actualice el dominio de SharePoint para que coincida con el de SharePoint Online

En el servidor de SharePoint local, en el Shell de administración de SharePoint 2013, ejecute este comando de Windows PowerShell.

El siguiente comando requiere la pertenencia del administrador de granja de SharePoint y establece el dominio de autenticación de la granja de SharePoint local.

Precaución

Al ejecutar este comando cambia el dominio de autenticación de la granja SharePoint local. Para las aplicaciones que usan un servicio de token de seguridad (STS) existente, esto podría provocar un comportamiento inesperado con otras aplicaciones que usan los símbolos de acceso. Más información: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Crear un emisor de token de seguridad de confianza para Microsoft Entra ID en SharePoint

En el servidor local SharePoint, en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.

Los siguientes comandos requieren la pertenencia del administrador de granja de SharePoint.

Para obtener más información sobre estos comandos de PowerShell, consulte Usar los cmdlets de Windows PowerShell para administrar la seguridad en SharePoint 2013.

  1. Habilite la sesión de PowerShell para realizar cambios en el servicio de token de seguridad para la granja de SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Establezca el extremo de metadatos.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Cree el nuevo proxy de aplicación del servicio de control de token en Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Nota

    El comando New- SPAzureAccessControlServiceApplicationProxy puede devolver un mensaje de error que indica que existe un proxy de aplicación con el mismo nombre. Si ya existe el proxy de aplicación con nombre, puede ignorar el error.

  4. Cree el nuevo emisor del servicio de control de token en SharePoint local para Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Conceder permiso a las aplicaciones de involucración del cliente para obtener acceso a SharePoint y configurar la asignación de autenticación basada en notificaciones

En el servidor local SharePoint, en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.

Los siguientes comandos requieren la pertenencia de administración de la colección de sitios de SharePoint.

  1. Registre aplicaciones de involucración del cliente con la colección de sitios de SharePoint.

    Escriba la dirección URL de la colección de sitios de SharePoint local. En este ejemplo, se usa https://sharepoint.contoso.com/sites/crm/.

    Importante

    Para completar este comando, debe existir y ejecutarse el proxy de aplicación del servicio de administración de aplicaciones de SharePoint. Para obtener más información acerca de cómo iniciar y configurar el servicio, vea el subtema Configuración de los valores de suscripciones y aplicaciones de servicio de administración de aplicaciones en Configurar un entorno para aplicaciones de SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Conceda acceso a las aplicaciones de involucración del cliente al sitio de SharePoint. Reemplace https://sharepoint.contoso.com/sites/crm/ con su dirección URL del sitio SharePoint.

    Nota

    En el siguiente ejemplo, se concede permiso a la aplicación de involucración del cliente a la colección de sitios de SharePoint especificada mediante el parámetro de colección de sitios –Scope. El parámetro Scope acepta las siguientes opciones. Elija el ámbito que sea el más adecuado para la configuración de SharePoint.

    • site. Concede permiso solo a las aplicaciones de involucración del cliente al sitio web especificado de SharePoint. No concede permiso a ningún subsitio bajo el sitio con nombre.
      • sitecollection. Concede permiso a las aplicaciones de involucración del cliente a todos los sitios web y subsitios dentro de la colección de sitios de SharePoint especificada.
      • sitesubscription. Concede permiso a las aplicaciones de involucración del cliente a todos los sitios web de la granja de SharePoint, incluidas todas las colecciones de sitios, sitios web y subsitios.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Establezca el tipo de asignación de la autenticación basada en notificaciones:

    Importante

    De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de la cuenta Microsoft y la dirección de correo electrónico de trabajo de SharePoint local del usuario para la asignación. Cuando se usa esto, las direcciones de correo electrónico del usuario deben coincidir en los dos sistemas. Para obtener vea Selección de tipo de asignación de autenticación basada en notificaciones.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Ejecutar el asistente de la Integración de SharePoint basado en servidor

Siga estos pasos:

  1. Asegúrese de que tiene el permiso adecuado para ejecutar el asistente. Más información: Permisos requeridos

  2. Vaya a Configuración>Administración de documentos.

  3. En el área Administración de documentos, haga clic en Habilitar la integración de SharePoint basada en servidor.

  4. Revise la información y, a continuación, haga clic en Siguiente.

  5. Para sitios de SharePoint, haga clic en Local y luego en Siguiente.

  6. Escriba la dirección URL de la colección de sitios local SharePoint, como https://sharepoint.contoso.com/sites/crm. El sitio se debe configurar para SSL.

  7. Haga clic en Siguiente.

  8. Aparecerá la sección de validación de sitios. Si se determina que todos los sitios son válidos, haga clic en Habilitar. Si se determina que uno o varios sitios no son válidos, consulte Solución de problemas de autenticación basada en servidor.

Seleccione las entidades que desea incluir en administración de documentos

De forma predeterminada, se incluyen las entidades Cuenta, Artículo, Cliente potencial, Producto, Oferta y Documentación de ventas. Puede agregar o quitar las entidades que se usarán para la administración de documentos con SharePoint en Configuración de administración de documentos en Configuración de la administración de documentos. Vaya a Configuración>Administración de documentos. Más información: Habilitar la administración de documentos en entidades

Agregar integración de OneDrive para la Empresa

Tras completar la configuración de autenticación basada en servidor de aplicaciones de involucración del cliente y SharePoint local, también puede integrar OneDrive para la Empresa. Con la integración de aplicaciones de involucración del cliente y OneDrive para la Empresa, los usuarios pueden crear y administrar documentos privados con OneDrive para la Empresa. Se puede acceder a estos documentos una vez que el administrador del sistema habilite OneDrive para la Empresa.

Habilitar OneDrive para la Empresa

En el Windows Server donde se ejecuta SharePoint Server local, abra el shell de administración de SharePoint y ejecute los siguientes comandos:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Selección de tipo de asignación de autenticación basada en notificaciones

De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de la cuenta Microsoft y la dirección de correo electrónico de trabajo de SharePoint local del usuario para la asignación. Observe que, cualquiera que sea el tipo de autenticación basada en notificaciones que use, los valores, como direcciones de correo electrónico, deben coincidir entre aplicaciones de involucración del cliente y SharePoint. La sincronización de directorios de Microsoft 365 puede ayudar a esto. Más información: Implementar la sincronización de directorios de Microsoft 365 en Microsoft Azure. Para usar un tipo diferente de asignación de autenticación basada en notificaciones, vea Definir asignación de notificación personalizada para la integración basada en el servidor de SharePoint.

Importante

Para habilitar la propiedad de correo electrónico de trabajo, SharePoint local debe tener una aplicación de servicio de perfil de usuario iniciada y configurada. Para habilitar una aplicación de servicio de perfil de usuario en SharePoint, vea Crear, editar o eliminar aplicaciones de servicio de perfil de usuario en SharePoint Server 2013. Para cambiar una propiedad de usuario, como correo electrónico de trabajo, vea Editar una propiedad de perfil de usuario. Para obtener más información acerca de la aplicación del servicio de perfil de usuario, vea Información general de la aplicación del servicio de perfil de usuario en SharePoint Server 2013.

Vea también

Solución de problemas de autenticación basada en servidor
Configurar la integración de SharePoint con aplicaciones de involucración del cliente