Visszajelzés

A kiszolgálóalapú hitelesítés konfigurálása a SharePoint helyszíni szolgáltatással

  • Cikk
  • 10 perc alatt elolvasható

A dokumentumkezeléshez használt kiszolgálóalapú SharePoint-integráció felhasználható az ügyfélkapcsolati alkalmazások (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing és Dynamics 365 Project Service Automation) SharePoint helyszíni szolgáltatásokhoz való összekapcsolásához. Kiszolgáló alapú hitelesítés használatakor az Azure AD tartományi szolgáltatások hozzáférést ellenőrző szolgáltatás szolgál bizalmi brókerként, és a felhasználóknak nem kell bejelentkezniük a(z) SharePoint szolgáltatásba.

Szükséges engedélyek

A dokumentumkezelés engedélyezéséhez SharePoint a következő tagságok és jogosultságok szükségesek.

  • Microsoft 365 Globális rendszergazdai tagság – ez a következőkhöz szükséges:

    • Rendszergazdai szintű hozzáférés az Microsoft 365 előfizetéshez.
    • A Kiszolgálóalapú hitelesítés engedélyezése varázsló futtatása.
    • AzurePowerShell A parancsmagok futtatása.

  • Power Apps Fut SharePoint Integrációs varázsló jogosultsága. Ez szükséges a Kiszolgáló alapú hitelesítés engedélyezése varázsló futtatásához.

    Alapértelmezés szerint a rendszergazdai biztonsági szerepkör rendelkezik ezzel a jogosultsággal.

  • A helyszíni integrációhoz SharePoint a SharePoint Farm administrators csoporttagsága. Ez szükséges a legtöbb PowerShell parancs futtatásához a SharePoint kiszolgálón.

A kiszolgálók közti hitelesítés konfigurálása a SharePoint helyszíni szolgáltatással

Az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint 2013 együttes beállításához kövesse az alábbi lépéseket.

Fontos

Az itt leírt lépéseket a megadott sorrendben kell elvégezni. Ha egy feladat nem fejeződik be, például egy PowerShell parancs hibaüzenetet jelenít meg, a problémát meg kell oldani, mielőtt továbblépne a következő parancsra, feladatra vagy lépésre.

Előfeltételek ellenőrzése

Az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint kiszolgáló alapú hitelesítési konfigurálása előtt a következő előfeltételnek kell teljesülnie:

SharePoint előfeltételek

  • SharePoint 2013 (helyszíni) 1-es szervizcsomag (SP1) vagy annál újabb verzió

    Fontos

    Az ügyfélkapcsolati alkalmazások dokumentumkezelése nem támogatja a SharePoint Foundation 2013 verziók használatát.

  • Telepítse a 2019. áprilisi kumulatív frissítést (CU) a SharePoint 2013 termékcsaládhoz. Ez a 2019 áprilisi CU tartalmazza az összes SharePoint 2013 javítást (beleértve az összes SharePoint 2013 biztonsági javítást) az SP1 kiadás óta. A 2019. áprilisi CU nem tartalmazza az SP1 szervizcsomagot. A 2019. április i CU telepítése előtt telepítenie kell az SP1 szervizcsomagot. További információ: kb 4464514 SharePoint Server 2013 2019. áprilisi CU

  • SharePoint konfiguráció

    • Ha a SharePoint 2013 csoportokat használja, minden egyes SharePoint farmhoz csak egy ügyfélkapcsolati alkalmazás konfigurálható a kiszolgáló alapú integráláshoz.

    • A SharePoint webhely elérhető az interneten keresztül. A SharePoint hitelesítéséhez szükség lehet fordított proxy-ra is. További információ: Fordított proxy-eszköz konfigurálása a SharePoint Server 2013 hibridhez

    • A SharePoint webhelyet konfigurálni kell az SSL (HTTPS) használatára a 443-as TCP-porton (az egyéni portok nem támogatottak), és a tanúsítványt nyilvános, legfelső szintű hitelesítésszolgáltatónak kell kiállítania. További információ: SharePoint: A biztonságos csatornák SSL-tanúsítványairól

    • Egy megbízható felhasználói tulajdonság, amelyet a jogcímalapú hitelesítési leképezéshez lehet alkalmazni a SharePoint és az ügyfélkapcsolati alkalmazások között. További információ: Igényleképezés típusának kiválasztása

    • A dokumentum-megosztáshoz, engedélyezni kell a SharePoint keresési szolgáltatást. További információ: Hozzon létre és konfigurálja a SharePoint Server keresési szolgáltatásalkalmazást

    • A dokumentumkezelési funkciói használata esetén a Dynamics 365 Mobile alkalmazásokban, a helyszíni SharePoint kiszolgáló az interneten keresztül elérhető kell, hogy legyen.

További előfeltételek

A SharePoint kiszolgáló SPN frissítése az Azure Active Directory tartományi szolgáltatásokban

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

  1. Készítse elő a PowerShell munkamenet.

    A következő parancsmag lehetővé teszi a számítógép számára a távoli parancsok fogadását, és hozzáadja a Microsoft 365 modulokat a PowerShell munkamenetéhez. Parancsmagok használatával kapcsolatos további tudnivalókért lásd: Windows PowerShell parancsmagok.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Csatlakozás az Microsoft 365 szolgálatatáshoz.

    A Connect-MsolService parancs futtatásakor meg kell adnia egy érvényes Microsoft-fiók azonosítót, amely kötelezően rendelkezik az globális rendszergazdai tagsággal a SharePoint Online szolgáltatáshoz.

    Az itt részletezett Azure Active DirectoryPowerShell parancsokkal kapcsolatos további információkért lásd: Az Azure AD kezelése a Windows PowerShell alkalmazásával

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Állítsa be a SharePoint állomás nevét.

    Az Állomásnév változó értékének meg kell egyeznie a SharePoint webhelygyűjtemény teljes nevével. Az állomásnévnek a webhelycsoport URL-címéből kell származnia, és figyelembe kell venni a nagybetűket. Ebben a példában a webhelycsoport URL-címe: https://SharePoint.constoso.com/sites/salesteam, ezért az állomásnév: SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Szerezze be az Microsoft 365 objektumazonosítót (bérlőt) és a SharePoint Server Service Principal Name (SPN) nevét.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Állítsa be a Service Principal Name (SPN) SharePoint Server nevét Azure Active Directory-ban.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Ezen parancsok végrehajtása után nem zárja be a SharePoint 2013 felügyeleti rendszerhéját, majd folytassa a következő lépéssel.

Frissítse a SharePoint tartományát, hogy az megegyezzen a SharePoint Online tartományával

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezt a Windows PowerShell parancsot.

Az alábbi parancshoz szükség van a SharePoint farmadminisztrátori tagságára, de beállítja a helyszíni SharePoint farm azonosítási tartományát.

Figyelemfelhívás

A parancs futtatásával módosul a helyszíni SharePoint farm hitelesítési tartománya. Egy meglévő biztonsági jegykiadó szolgáltatást (STS) használó alkalmazások esetén ez nem várt viselkedéshez vezethet, hozzáférési jogkivonatokat használó egyéb alkalmazásokkal való használatkor. További információ: SPAuthenticationRealm beállítása.

Set-SPAuthenticationRealm -Realm $SPOContextId

Hozzon létre egy megbízható biztonsági jogkivonat-kibocsátót az Azure Active Directory számára a SharePoint-webhelyen

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

A következő parancsokhoz szükség van SharePoint farmrendszergazdai tagságra.

A PowerShell parancsokkal kapcsolatos részletes információkért lásd: Windows PowerShell parancsmagok használata a SharePoint 2013 biztonsági felügyeletéhez.

  1. Engedélyezze a PowerShell munkamenetet a SharePoint farmhoz tartozó biztonsági jogkivonatokkal kapcsolatos szolgáltatások módosításához.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. A metaadat-végpont beállítása.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Hozzon létre új jogkivonat-ellenőrző szolgáltatáshoz tartozó alkalmazási proxy-t a Azure Active Directory alkalmazásban.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Megjegyzés

    A New- SPAzureAccessControlServiceApplicationProxy paranccsal egy hibaüzenetet kapunk, mely azt jelzi, hogy az alkalmazási proxy ugyanazon a néven már létezik. Ha az elnevezett alkalmazási proxy már létezik, figyelmen kívül hagyhatja a hibát.

  4. Hozzon létre új jogkivonat-ellenőrző szolgáltatási kibocsátót a helyszíni SharePoint alkalmazásban a Azure Active Directory számára.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Engedély megadása az ügyfélkapcsolati alkalmazásoknak a SharePoint alkalmazáshoz való hozzáféréshez és a jogcímalapú hitelesítési leképezés beállításához

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

A következő parancsokhoz szükség van SharePoint oldalgyűjteményi rendszergazdai tagságra.

  1. Regisztrálja az ügyfélkapcsolati alkalmazásokat a SharePoint webhelycsoporttal.

    Adja meg a helyszíni SharePoint webhelygyűjtemény URL-címét. Ebben a példában a következőt használjuk: https://sharepoint.contoso.com/sites/crm/.

    Fontos

    Ezen parancs végrehajtásához léteznie és futnia kell a SharePoint alkalmazáskezelőhöz tartozó szolgáltatási alkalmazásproxy-nak. A szolgáltatás elindításával és beállításával kapcsolatos további inormációért lásd az Előfizetési beállítások és alkalmazáskezelő szolgáltatási alkalmazások konfigurálása című alfejezetet a Környezet konfigurálása alkalmazások számára a SharePoint alkalmazáson belül (SharePoint 2013) című kiadványban.

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Engedély megadása az ügyfélkapcsolati alkalmazásoknak a SharePoint webhelyhez. Helyettesítse a https://sharepoint.contoso.com/sites/crm/ címet az Ön SharePoint webhelyének URL-címével.

    Megjegyzés

    Az alábbi példában az ügyfélkapcsolati alkalmazás engedélyt kap a megadott SharePoint-webhelycsoporthoz a –Hatókör webhelycsoport paraméter használatával. A Hatókör paraméter a következő beállításokat fogadja el. Válassza ki azt a hatókört, amely a legmegfelelőbb a saját SharePoint konfiguráció számára.

    • site. Engedélyt ad az ügyfélkapcsolati alkalmazások számára, de csak a megadott SharePoint webhelyhez. Ez nem ad engedélyt a megnevezett webhely alwebhelyeihez.
      • sitecollection. Engedélyt ad az ügyfélkapcsolati alkalmazások számára az összes webhelyhez és alwebhelyhez, a megadott SharePoint webhelycsoporton belül.
      • sitesubscription. Engedélyt ad az ügyfélkapcsolati alkalmazások számára az összes webhelyhez a SharePoint farmon belül, beleértve minden webhelycsoportot, weboldalt és aloldalt.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Állítsa be a jogcímalapú hitelesítési leképezés típusát.

    Fontos

    Alapértelmezés szerint a jogcímalapú hitelesítési leképezés a felhasználó Microsoft-fiók e-mail címét és a felhasználó helyszíni SharePoint alkalmazásbeli munkahelyi e-mail címét fogja használni a leképezéshez. Ha ezt a beállítást használja, a felhasználó e-mail címének meg kell egyeznie a két rendszerben. További tudnivalókért lásd: A jogcímalapú hitelesítés leképezés típusának kiválasztása.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Kiszolgálóalapú SharePoint-integráció engedélyezése – varázsló futtatása

Tegye a következőket:

  1. Ellenőrizze, hogy rendelkezik-e a megfelelő engedéllyel a varázsló futtatásához. További információ: Szükséges engedélyek

  2. Válassza a Beállítások > Dokumentumkezelés lehetőséget.

  3. A Dokumentumkezelés területen kattintson a Kiszolgáló alapú SharePoint-integráció engedélyezése lehetőségre.

  4. Vizsgálja felül az adatokat, majd kattintson a Következő gombra.

  5. A(z) SharePoint oldalak esetében kattintson a Helyszíni lehetőségre, majd kattintson a Tovább gombra.

  6. Adja meg a SharePoint helyszíni webhelygyűjtemény URL-címét, pl.: https://sharepoint.contoso.com/sites/crm. A webhelyet SSL-re kell konfigurálni.

  7. Kattintson a Tovább gombra.

  8. Megjelenik a helyek ellenőrzése szakasz. Ha az összes webhely érvényesként lett megjelölve, kattintson az Engedélyezés lehetőségre. Ha egy vagy több hely érvénytelenként lett meghatározva, lásd: Hibaelhárítás kiszolgáló-alapú hitelesítés esetén.

Azon entitások kiválasztása, amelyeket be kell illeszteni a dokumentumkezelésbe

Alapértelmezés szerint a Számla, a Cikk, az Érdeklődő, a Termék, az Árajánlat és a Termékleírások entitásokhoz tartoznak bele. Hozzáadhat vagy eltávolíthat olyan entitásokat, melyek a SharePoint dokumentumkezelése során kerülnek alkalmazásra Dokumentumkezelési beállítások a lehetőségen belül. Válassza a Beállítások > Dokumentumkezelés lehetőséget. További információ: Dokumentumkezelés engedélyezése entitásokon

A OneDrive Vállalati verzió integrálása

Az ügyfélkapcsolati alkalmazások és a helyszíni SharePoint kiszolgálóalapú hitelesítés beállításának befejezése után integrálhatja a OneDrive Vállalati verzió alkalmazást is. Az ügyfélkapcsolati alkalmazások és a OneDrive Vállalati verzió integrációjával, a felhasználók privát dokumentumokat hozhatnak létre és kezelhetnek a OneDrive Vállalati verzió alkalmazással. Ezek a dokumentumok elérhetők a rendszerben, miután a rendszergazda engedélyezte a OneDrive Vállalati verzió verziót.

OneDrive Vállalati verzió engedélyezése

A Windows Server, ahol a SharePoint Server helyszíni változat fut, nyissa meg a SharePoint felügyeleti rendszerhéjat és futtassa az alábbi parancsokat:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=&quot;&quot;true&quot;&quot;><AppPermissionRequest Scope=&quot;&quot;http://sharepoint/content/tenant&quot;&quot; Right=&quot;&quot;FullControl&quot;&quot; /><AppPermissionRequest Scope=&quot;&quot;http://sharepoint/social/tenant&quot;&quot; Right=&quot;&quot;Read&quot;&quot; /><AppPermissionRequest Scope=&quot;&quot;http://sharepoint/search&quot;&quot; Right=&quot;&quot;QueryAsUserIgnoreAppPrincipal&quot;&quot; /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

A jogcímalapú hitelesítési leképezés típusának kiválasztása

Alapértelmezés szerint a jogcímalapú hitelesítési leképezés a felhasználó Microsoft-fiók e-mail címét és a felhasználó helyszíni SharePoint alkalmazásbeli munkahelyi e-mail címét fogja használni a leképezéshez. Vegye figyelembe, hogy bármilyen jogcímalapú hitelesítés használata esetén az értékeknek, például az e-mail címeknek, meg kell egyezniük az ügyfélkapcsolati alkalmazások és a SharePoint esetében. Microsoft 365 a címtár szinkronizálás segíthet ezen. További információ:Felfejlődik Microsoft 365 Címtár-szinkronizálás itt: Microsoft Azure. Más típusú jogcímalapú hitelesítés leképezés használatához lásd: Jogcímalapú leképezés meghatározása a kiszolgáló alapú SharePoint-integrációhoz.

Fontos

A munkahelyi e-mail tulajdonság engedélyezéséhez a helyszíni SharePoint alkalmazásnak rendelkeznie kell egy konfigurált és elindított felhasználói profilhoz tartozó szolgáltatási alkalmazással. A felhasználói profilok szolgáltatási alkalmazásának a SharePoint alkalmazáson belüli engedélyezéséhez lásd: Felhasználói profilok szolgáltatási alkalmazásának létrehozása, szerkesztése vagy törlése a SharePoint Server 2013 alkalmazásban. Ha módosítani szeretné a felhasználói tulajdonságot, például a munkahelyi e-mail címet, lásd: Felhasználói profil tulajdonságainak szerkesztése. A felhasználói profilok szolgáltatási alkalmazásával kapcsolatos további tudnivalókért lásd: A SharePoint Server 2013 felhasználói profiljaihoz tartozó szolgáltatási alkalmazás áttekintése.

Lásd még

Kiszolgálóalapú hitelesítés hibaelhárítása
Állítsa be a SharePoint-integrációt az ügyfélkapcsolati alkalmazások között

Megjegyzés

Megosztja velünk a dokumentációja nyelvi preferenciáit? Rövid felmérés elvégzése. (ne feledje, hogy ez a felmérés angol nyelvű)

A felmérés elvégzése körülbelül hét percet vesz igénybe. Semmilyen személyes adatot nem gyűjtünk (adatvédelmi nyilatkozat).