Serveripõhise autentimise konfigureerimine SharePointi asutusesisese lahendusega

Serveripõhist SharePoint i integreerimist dokumendihalduse jaoks saab kasutada klientide kaasamise rakenduste (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation) ühendamiseks asutusesisese SharePointiga. Serveripõhise autentimise Microsoft Entra kasutamisel kasutatakse usaldusmaaklerina domeeniteenuseid ja kasutajad ei pea sisse logima SharePoint.

Vajalikud õigused

SharePoint’i dokumendihalduse lubamiseks on vaja järgmisi liikmesusi ja õigusi.

• Microsoft 365 üldadministraatorite liikmelisus – see on nõutav järgmise jaoks.

  • Administraatori tasemel juurdepääsuks Microsoft 365 kordustellimusele.
  • Serveripõhise autentimise lubamise viisardi käivitamiseks.
  • Käsu AzureShelli cmdlets käivitamiseks.

• Power Apps SharePointi integratsiooniviisardi käivitamise õigus. See on vajalik serveripõhise autentimise lubamise viisardi käitamiseks.

  Süsteemiadministraatori turberollil on see õigus vaikimisi.

• SharePointi asutusesisene integratsioon, SharePointi pargi administraatorite rühma liikmelisus. See on vajalik enamiku PowerShelli käskude käivitamiseks SharePointi serveris.

Serverist serverisse autentimise häälestamine SharePointi asutusesisese lahendusega

Kliendi kaasamiste rakenduste seadistamiseks asutusesisese SharePoint 2013-ga järgige juhiseid toodud järjekorras.

Oluline

Siin kirjeldatud etapid tuleb täita ettenähtud järjekorras. Kui ülesannet ei täideta, näiteks kui PowerShelli käsk tagastab veateate, tuleb probleem lahendada enne järgmise käsu, ülesande või juhise juurde liikumist.

Eeltingimuste kontrollimine

Enne klientide kaasamise rakenduste ja asutusesisese SharePointi konfigureerimist serveripõhise autentimise jaoks tuleb täita järgmised eeltingimused.

SharePointi eeltingimused

• SharePoint 2013 (asutusesisene) hoolduspaketiga 1 (SP1) või uuem versioon

  Oluline

  SharePoint Foundation 2013 versioone ei toetata kasutamiseks klientide kaasamise rakenduste dokumendihaldusega.

• Installige 2019. a aprilli kumulatiivne värskendus (CU) SharePoint 2013 tootepere jaoks. See 2019. a aprilli CU hõlmab kõiki SharePoint 2013 parandusi (sh kõik SharePoint 2013 turvaparandusi), mis algselt avaldati koos hoolduspaketiga SP1. 2019. a aprilli CU ei sisalda hoolduspaketti SP1. Enne 2019. a aprilli CU installimist tuleb installida hoolduspakett SP1. Lisateave: KB4464514 SharePoint Server 2013 2019. a aprilli CU

• Lahenduse SharePoint konfiguratsioon

  • Kui kasutate SharePoint 2013, saab serveripõhise integratsiooni jaoks konfigureerida iga SharePointi pargi korral ainult ühe Customer Engagementi rakenduse.

  • SharePointi veebisaidile peab olema võimalik Interneti kaudu juurde pääseda. SharePointi autentimiseks võib olla vajalik ka pöördpuhverserver. Lisateave: Pöördpuhverserveri konfigureerimine SharePoint Server 2013 hübriidi puhul

  • SharePointi veebisait peab olema konfigureeritud kasutama SSL-i (HTTPS-i) TCP pordis 443 (kohandatud porte ei toetata) ja serdi peab olema väljastanud avalik juursertimiskeskus. Lisateave: SharePoint: teave turvaliste kanali SSL-sertide kohta

  • Usaldusväärne kasutajaatribuut kasutamiseks taotlusepõhise autentimise vastenduste puhul SharePointi ja klientide kaasamise rakenduste vahel. Lisateave: Taotlusepõhise vastendustüübi valimine

  • Dokumentide ühiskasutuseks peab olema lubatud SharePointi otsinguteenus. Lisateave: Otsinguteenuse rakenduse loomine ja konfigureerimine SharePointi serveris

  • Dynamics 365 mobiilirakenduste kasutamisel peab asutusesisene SharePointi server Interneti kaudu dokumendihalduse funktsiooni jaoks kättesaadav olema.

Muud eeltingimused

• SharePoint Online’i litsents. Serveripõhise autentimise klientide kaasamise rakenduste SharePoint asutusesisene puhul peab teenuse põhinimi (SPN) olema SharePoint ID-s Microsoft Entra registreeritud. Selle saavutamiseks on nõutav vähemalt üks SharePoint Online’i kasutajalitsents. SharePoint Online’i litsentsi saab tuletada ainukasutaja litsentsist ja tavaliselt tuleb see ühest järgmistest:

  • SharePoint Online’i kordustellimus. Iga SharePoint Online’i plaan on piisav ka siis, kui litsents ei ole määratud kasutajale.

  • Microsoft 365’i tellimus, mis sisaldab SharePoint Online’i. Näiteks, kui teil on Microsoft 365 E3, on teil sobiv litsents ka siis, kui litsents ei ole määratud kasutajale.

    Vt lisateavet nende lepingute kohta jaotistest Sobiva lahenduse leidmine ja SharePointi valikute võrdlus

• Selles teemas kirjeldatud PowerShelli cmdlet-käskude käivitamiseks on vajalikud järgmised tarkvarafunktsioonid.

  • Teenuse Microsoft Online Services sisselogimisabiline IT-töötajatele, beetaversioon

  • MSOnlineExt

  • Mooduli MSOnlineExt installimiseks sisestage PowerShelli administraatori seanssi järgmine käsk. PS> Install-Module -Name "MSOnlineExt"

  Oluline

  Selle dokumendi koostamise ajal on probleem RTW-versiooniga teenuse Microsoft Online Services sisselogimisabilisest IT-töötajatele. Probleemi lahendamiseni soovitame kasutada beetaversiooni. Lisateave: Microsoft Azure Foorumid: Windows PowerShelli moodulit ei saa installida Microsoft Entra . MOSSIA ei ole paigaldatud.

• Klientide kaasamise rakenduste ja asutusesisese SharePointi vaheliste identiteetide vastendamiseks sobiv taotlusepõhise autentimise vastendamise tüüp. Vaikimisi kasutatakse meiliaadressi. Lisateave: Klientide kaasamise rakendustele SharePointile juurdepääsuõiguse andmine ja taotlusepõhise autentimise vastendamise konfigureerimine

Värskendage serveri SPN-i SharePoint domeeniteenustes Microsoft Entra

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud esitatud järjekorras.

1. Valmistage ette PowerShelli seanss.

   Järgmised cmdlet-käsud võimaldavad arvutil kaugkäske vastu võtta ja Microsoft 365 mooduleid PowerShelli seansile lisada. Lisateavet nende cmdlet-käskude kohta leiate jaotisest Windows PowerShelli peamised cmdlet-käsud.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Looge ühendus Microsoft 365-ga.

   Kui käivitate käsu Connect-MsolService, peate esitama kehtiva Microsofti konto, millel on üldadministraatori liikmestaatus vajaliku SharePoint Online’i litsentsi jaoks.

   Üksikasjalikku teavet kõigi Microsoft Entra siin loetletud IDPowerShelli käskude kohta leiate teemast Haldamine Microsoft Entra Windows PowerShelli abil

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Määrake SharePointi hosti nimi.

   Väärtus, mille muutujale HostName määrate, peab olema SharePointi saidikogumi hosti täisnimi. Hosti nime peab tuletama saidikogumi URList ning see on tõstutundlik. Selles näiteks on saidikogumiku URL <https://SharePoint.constoso.com/sites/salesteam>, nii et hostinimi on SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Hankige Microsoft 365 objekti (rentniku) ID ja SharePointi serveri teenuse subjektinimi (SPN).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Määrake SharePoint serveriteenuse põhinimi (SPN) ID-s Microsoft Entra .

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Ärge sulgege pärast nende käskude käitamist SharePoint 2013 Management Shelli ning jätkake järgmise sammuga.

SharePointi valla värskendamine, et see vastaks SharePoint Online’i omale

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis see Windows PowerShelli käsk.

Järgmine käsk nõuab SharePointi farmi administraatori liikmestaatust ja määrab SharePointi asutusesisese farmi autentimisvalla.

Hoiatus

Selle käsu käivitamine muudab SharePointi asutusesisese farmi autentimisvalda. Rakenduste puhul, mis kasutavad olemasolevat turbelubade teenust (STS), võib see põhjustada ootamatut käitumist teiste juurdepääsutõendeid kasutavate rakendustega. Lisateave: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Looge ID jaoks Microsoft Entra usaldusväärne turvatõendi väljaandja SharePoint

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud esitatud järjekorras.

Järgmised käsud nõuavad SharePointi farmi administraatori liikmestaatust.

Üksikasjalikku teavet nende PowerShelli käskude kohta vt: Windowsi PowerShelli cmdlets-käskude kasutamine turbe haldamiseks SharePoint 2013-s.

1. Lubage PowerShelli seanss, et teha muudatusi SharePointi farmi turbelubade teenuses.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Metaandmete lõpp-punkti määramine.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Looge ID-s Microsoft Entra uus token control service’i rakenduse puhverserver.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Märkus.

   Käsk New- SPAzureAccessControlServiceApplicationProxy võib anda tõrketeate, mis ütleb, et sama nimega rakenduse puhverserver on juba olemas. Kui sama nimega rakenduse puhverserver on olemas, võite tõrget eirata.

4. Looge ID-le SharePoint uus tokeni juhtimise teenuse väljastaja # Microsoft Entra asutusesisene.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Klientide kaasamise rakendustele SharePointile juurdepääsuõiguse andmine ja taotlusepõhise autentimise vastendamise konfigureerimine

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud esitatud järjekorras.

Järgmised käsud nõuavad SharePointi saidikogumi administratsiooni liikmestaatust.

1. Registreerige klientide kaasamise rakendused SharePointi saidikogumiga.

   Sisestage asutusesisese SharePointi saidikogumi URL. Selles näites kasutatakse URL-i https://sharepoint.contoso.com/sites/crm/.

   Oluline

   Selle käsu rakendamiseks peab olema olemas ja töötama SharePointi rakendusehaldusteenuse rakenduspuhver. Lisateavet teenuse käivitamise ja konfigureerimise kohta leiate alateemast Tellimissätete ja rakendushaldusteenuse rakenduste konfigureerimine jaotises SharePointi rakenduste keskkonna konfigureerimine (SharePointSharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Klientide kaasamise rakendustele SharePointi saidile juurdepääsuõiguse andmine. Asendage https://sharepoint.contoso.com/sites/crm/ oma SharePointi saidi URL-iga.

   Märkus.

   Järgnevas näites on klientide kaasamise rakendusele tagatud õigus juurdepääsuks konkreetsele SharePointi saidikogumikule, kasutades saidikogumiku parameetrit Ulatus. Ulatuse parameeter võimaldab teha järgmisi valikuid. See võimaldab valida SharePointi konfiguratsiooni jaoks sobivaima ulatuse.

   • site. See annab klientide kaasamise rakenduste õiguse ainult konkreetse SharePointi veebisaidi jaoks. See ei anna õigust nimetatud saidi alamsaitidele.
     • sitecollection. See annab klientide kaasamise rakenduste õiguse kõigile veebisaitidele ja alamsaitidele konkreetses SharePointi saidikogumikus.
     • sitesubscription. See annab klientide kaasamise rakenduste õiguse kõigile veebisaitidele SharePointi pargis, sh kõigile saidikogumikele, veebisaitidele ja alamsaitidele.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Taotlusepõhise autentimise vastendustüübi määramine.

   Oluline

   Vaikimisi kasutatakse taotlusepõhise autentimise vastenduse puhul vastendamiseks Microsofti konto meiliaadressi ja kasutaja asutusesisese SharePointi töömeili aadressi. Selle kasutamisel peavad kasutaja e-posti aadressid kahe süsteemi vahel ühtima. Lisateavet leiate jaotisest Taotlusepõhise autentimise vastendustüübi valimine.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Serveripõhise SharePointi integratsiooniviisardi lubamise käivitamine

Toimige järgmiselt.

1. Kontrollige, kas teil on viisardi käivitamiseks vajalikud õigused. Lisateave: Nõutavad õigused

2. Minge jaotisse Sätted>Dokumendihaldus.

3. Klõpsake alal Dokumendihaldus käsku Luba serveripõhine SharePointi integratsioon.

4. Vaadake teave üle ja klõpsake siis Edasi.

5. SharePoint-i saitide puhul klõpsake valikut Asutusesisene ja siis Edasi.

6. Sisestage asutusesisese SharePointi saidikogumi URL, nt https://sharepoint.contoso.com/sites/crm. Sait peab olema SSL-i jaoks konfigureeritud.

7. Klõpsake valikut Edasi.

8. Kuvatakse saitide kontrollimise jaotis. Kui kõik saidid on sobivaks kinnitatud, klõpsake Luba. Kui mõni sait on sobimatuks määratud, vt jaotist Serveripõhise autentimise tõrkeotsing.

Valige olemid, mida soovite dokumendihaldusse lisada

Vaikimisi lisatakse ettevõte, artikkel, müügivihje, toode, hinnapakkumine ja müügimaterjalid. Saate SharePoint'i abil jaotises Dokumendihalduse sätted lisada või eemaldada olemeid, mida dokumendihalduses kasutatakse. Minge jaotisse Sätted>Dokumendihaldus. Lisateave: Olemite dokumendihalduse lubamine

OneDrive'i ärirakenduse integratsioon

Pärast klientide kaasamise rakenduste ja asutusesisese SharePointi serveripõhise autentimise konfigureerimist saate integreerida ka rakenduse OneDrive for Business. Klientide kaasamise rakenduste ja OneDrive for Businessi integreerimisega saavad kasutajad kasutada privaatsete dokumentide loomiseks ja haldamiseks rakendust OneDrive for Business. Neile dokumentidele pääseb juurde, kui süsteemiadministraator on lubanud rakenduse OneDrive for Business.

Luba OneDrive for Business

Avage Windows Serveril, kus töötab asutusesisese SharePointi server, SharePoint Management Shell ja käivitage järgmised käsud.

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Taotlusepõhise autentimise vastendustüübi valimine

Vaikimisi kasutatakse taotlusepõhise autentimise vastenduse puhul vastendamiseks Microsofti konto meiliaadressi ja kasutaja asutusesisese SharePointi töömeili aadressi. Arvestage, et olenemata kasutatavast taotlusepõhise autentimise tüübist peavad sellised väärtused nagu meiliaadressid klientide kaasamise rakenduste ja SharePointi vahel ühtima. Microsoft 365 kausta sünkroonimine võib sealjuures abiks olla. Lisateave: Microsoft 365 kataloogi sünkroonimise juurutamine rakenduses Microsoft Azure. Mõnda muud tüüpi taotlusepõhise autentimise vastenduse kasutamiseks vt SharePointi serveripõhise integratsiooni jaoks kohandatud taotluse vastenduse määramine.

Oluline

Töömeili atribuudi lubamiseks peab asutusesisesel SharePointil olema konfigureeritud ja käivitatud kasutajaprofiili teenuserakendus. Kasutajaprofiili teenuserakenduse lubamise kohta SharePointis vt jaotist Kasutajaprofiili teenuserakenduste loomine, redigeerimine või kustutamine rakenduses SharePoint Server 2013. Kasutaja atribuudis (nt töömeilis) muudatuste tegemise kohta vt jaotist Kasutajaatribuudi redigeerimine. Lisateavet kasutajaprofiili teenuserakenduse kohta leiate jaotisest Ülevaade kasutajaprofiili teenuserakendusest SharePoint Server 2013-s.

Vt ka

Serveripõhise autentimise tõrkeotsing
SharePoint i integreerimine Customer Engagementi rakendustega