Condividi tramite

Configurare l‘autenticazione basata su server con SharePoint on-premises

  • Articolo

L'integrazione di SharePoint basata su server per la gestione dei documenti può essere utilizzata per connettere le app di interazione con i clienti (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation) con SharePoint on-premises. Quando si utilizza l'autenticazione basata su server, viene utilizzato Servizi di dominio Microsoft Entra come broker di attendibilità e gli utenti non hanno necessità di accedere a SharePoint.

Autorizzazioni obbligatorie

Sono necessari gli abbonamenti e i privilegi seguenti per abilitare la gestione documenti di SharePoint.

  • Iscrizione amministratore globale: è necessaria per Microsoft 365:

    • Accesso a livello amministrativo all'abbonamento Microsoft 365.
    • Esecuzione della procedura guidata Abilita autenticazione basata su server.
    • Esecuzione dei cmdlet di AzurePowerShell.

  • Privilegio di Power Apps Esegui l'Integrazione guidata SharePoint. Ciò è richiesto per l'esecuzione della procedura guidata per l'abilitazione dell'autenticazione basata su server.

    Il ruolo di sicurezza Amministratore di sistema dispone di questo privilegio per impostazione predefinita.

  • Per l'integrazione di SharePoint locale, appartenenza al gruppo Amministratori della farm SharePoint. Ciò è necessario per eseguire la maggior parte dei comandi di PowerShell sul server SharePoint.

Configurare l'autenticazione tra server con SharePoint on-premises

Esegui i passaggi nell'ordine indicato per configurare le app di interazione con i clienti con SharePoint 2013 locale.

Importante

I passaggi riportati di seguito devono essere completati nell'ordine indicato. Se un'attività non viene completata, ad esempio un comando di PowerShell che restituisce un messaggio di errore, è necessario risolvere il problema prima di continuare con il comando, l'attività oppure il passaggio successivo.

Verificare i prerequisiti

Prima di configurare le app di interazione con i clienti e SharePoint on-premises per l'autenticazione basata su server, è necessario soddisfare i prerequisiti seguenti:

Prerequisiti di SharePoint

  • SharePoint 2013 (locale) con Service Pack 1 (SP1) o versione successiva

    Importante

    Le versioni di SharePoint Foundation 2013 non sono supportate per l'utilizzo con la gestione dei documenti delle app di interazione con i clienti.

  • Installa l'aggiornamento cumulativo di aprile 2019 per la famiglia di prodotti SharePoint 2013. Questo aggiornamento cumulativo di aprile 2019 include tutte le correzioni di SharePoint 2013 (inclusi tutte le correzioni di sicurezza di SharePoint 2013) rilasciate dopo il SP1. L'aggiornamento cumulativo di aprile 2019 non include il SP1. È necessario installare il SP1 prima di installare l'aggiornamento cumulativo di aprile 2019. Maggiori informazioni: KB4464514 aggiornamento cumulativo di aprile 2019 per SharePoint Server 2013

  • Configurazione di SharePoint

    • Se utilizzi SharePoint 2013, per ogni farm di SharePoint è possibile configurare una sola app di interazione con i clienti per l'integrazione basata su server.

    • Il sito Web di SharePoint deve essere accessibile tramite Internet. Il proxy inverso può essere richiesto per l'autenticazione di SharePoint. Ulteriori informazioni: Configurare un dispositivo proxy inverso per SharePoint Server 2013 ibrido

    • Il sito Web di SharePoint deve essere configurato per l'utilizzo di SSL (HTTPS) sulla porta TCP 443 (non sono supportate porte personalizzate) e il certificato deve essere emesso da un'autorità di certificazione radice pubblica. Ulteriori informazioni: SharePoint: Informazioni sui certificati SSL di canale protetto

    • Una proprietà utente affidabile da utilizzare per il mapping dell'autenticazione basata sulle attestazioni tra SharePoint e le app di interazione con i clienti. Ulteriori informazioni: Selezione di un tipo di mapping delle attestazioni

    • Per la condivisione dei documenti, il servizio di ricerca di SharePoint deve essere abilitato. Ulteriori informazioni: Creare e configurare un'applicazione servizio di ricerca in SharePoint Server

    • Per la funzionalità di gestione dei documenti quando si utilizzano le app per dispositivi mobili di Dynamics 365, il server di SharePoint on-premises deve essere disponibile tramite Internet.

Altri prerequisiti

  • Licenza di SharePoint Online. Le app di interazione con i clienti per l'autenticazione basata sul server di SharePoint on-premises devono avere il nome dell'entità servizio SharePoint registrato in Microsoft Entra ID. A questo proposito, è necessaria almeno una licenza utente di SharePoint Online. La licenza di SharePoint Online può derivare da una singola licenza utente e in genere deriva da:

    • Una sottoscrizione di SharePoint Online. Un qualsiasi piano di SharePoint Online è sufficiente anche se la licenza non è assegnata a un utente.

    • Una sottoscrizione di Microsoft 365 che include SharePoint Online. Ad esempio, se si utilizza Microsoft 365 E3, disponi delle licenze appropriate anche se la licenza non è assegnata a un utente.

      Per ulteriori informazioni su questi piani, vedi Trovare la soluzione appropriata e Confrontare le opzioni di SharePoint

  • Le seguenti funzionalità software sono necessarie per eseguire i cmdlet di PowerShell descritti in questo argomento.

    • Assistente per l'accesso ai Microsoft Online Services per professionisti IT Beta

    • MSOnlineExt

    • Per installare il modulo MSOnlineExt, immettere il comando seguente da una sessione di PowerShell come amministratore. PS> Install-Module -Name "MSOnlineExt"

    Importante

    Al momento della stesura del presente documento, esiste un problema con la versione RTW dell'assistente per l'accesso ai Microsoft Online Services per professionisti IT. Finché il problema non viene risolto è consigliabile utilizzare la versione Beta. Ulteriori informazioni: Forum di Microsoft Azure: Impossibile installare il modulo Microsoft Entra per Windows PowerShell. MOSSIA non è installato.

  • Un tipo di mapping appropriato per l'autenticazione basata sulle attestazioni da utilizzare per il mapping delle identità tra le app di interazione con i clienti e SharePoint on-premises. Per impostazione predefinita, viene utilizzato l'indirizzo e-mail. Ulteriori informazioni! Concedere alle app di interazione con i clienti l'autorizzazione per accedere a SharePoint e configurare il mapping dell'autenticazione basata sulle attestazioni

Aggiornare l'SPN server di SharePoint nei Servizi di dominio Microsoft Entra

Nel server di SharePoint locale, in SharePoint 2013 Management Shell, esegui questi comandi di PowerShell nell'ordine indicato.

  1. Prepara la sessione di PowerShell.

    I cmdlet seguenti consentono al computer di ricevere i comandi remoti e aggiungere i moduli di Microsoft 365 alla sessione PowerShell. Per ulteriori informazioni sui cmdlet, vedere Cmdlet principali di Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Connettersi a Microsoft 365.

    Durante l'esecuzione del comando Connect-MsolService, devi fornire un account Microsoft valido che dispone dell'appartenenza Amministratore globale per la licenza di SharePoint Online necessaria.

    Per informazioni dettagliate su ciascuno dei comandi di Microsoft Entra ID PowerShell elencati qui, vedi Gestire Microsoft Entra con Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Impostare il nome host di SharePoint.

    Il valore da impostare per la variabile HostName deve essere il nome host completo della raccolta siti di SharePoint. Il nome host deve essere derivato dall'URL della raccolta siti e rispetta la differenza tra minuscole e maiuscole. In questo esempio, l'URL della raccolta siti è <https://SharePoint.constoso.com/sites/salesteam>, quindi il nome host è SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Ottieni l'ID (tenant) dell'oggetto di Microsoft 365 e il nome dell'entità servizio (SPN, Service Principal Name) del server SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Imposta il nome dell'entità servizio del server SharePoint (SPN) in Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Una volta completati i comandi non chiudere SharePoint 2013 Management Shell e continuare con il passaggio successivo.

Aggiornare l'area di autenticazione di SharePoint per corrispondere quella di SharePoint Online

Nel server SharePoint locale, in SharePoint 2013 Management Shell, esegui questo comando Windows PowerShell.

Il seguente comando richiede l'appartenenza di amministratore di farm di SharePoint e imposta l'area di autenticazione della farm di SharePoint on-premises.

Attenzione

L'esecuzione del comando modifica l'area di autenticazione della farm di SharePoint on-premises. Per le applicazioni che utilizzano un servizio token di sicurezza (STS, Security Token Service) esistente, è possibile che si verifichi un comportamento imprevisto con altre applicazioni che utilizzano i token di accesso. Ulteriori informazioni: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Creare un'autorità emittente di token di sicurezza attendibile per Microsoft Entra ID in SharePoint

Nel server di SharePoint locale, in SharePoint 2013 Management Shell, esegui questi comandi di PowerShell nell'ordine indicato.

I comandi seguenti richiedono l'appartenenza amministratore di farm di SharePoint.

Per informazioni dettagliate su questi comandi PowerShell, vedi Utilizzare i cmdlet Windows PowerShell per amministrare la sicurezza in SharePoint 2013.

  1. Abilitare la sessione PowerShell per apportare modifiche al servizio token di sicurezza per la farm di SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Impostare l'endpoint dei metadati.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Creare il nuovo proxy dell'applicazione del servizio di controllo proxy in Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Nota

    Il comando New- SPAzureAccessControlServiceApplicationProxy può restituire un messaggio di errore che indica che il proxy dell'applicazione con lo stesso nome esiste già. Se il proxy dell'applicazione denominato esiste già, è possibile ignorare l'errore.

  4. Crea la nuova autorità emittente del servizio di controllo token in SharePoint on-premises per Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Concedere alle app di interazione con i clienti l'autorizzazione per accedere a SharePoint e configurare il mapping dell'autenticazione basata sulle attestazioni

Nel server di SharePoint locale, in SharePoint 2013 Management Shell, esegui questi comandi di PowerShell nell'ordine indicato.

I comandi seguenti richiedono l'appartenenza amministratore della raccolta siti SharePoint.

  1. Registra le app di interazione con i clienti con la raccolta siti SharePoint.

    Immettere l'URL della raccolta siti SharePoint on-premises. In questo esempio, https://sharepoint.contoso.com/sites/crm/ viene utilizzato.

    Importante

    Per eseguire questo comando, il proxy dell'applicazione del servizio di gestione dell'applicazione di SharePoint deve esistere ed essere in esecuzione. Per ulteriori informazioni su come avviare e configurare il servizio, vedi l'argomento secondario Configurare le applicazioni del servizio di gestione delle applicazioni e le impostazioni della sottoscrizione in Configurare un ambiente per le app per SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Concedi alle app di interazione con i clienti l'accesso al sito di SharePoint. Sostituire https://sharepoint.contoso.com/sites/crm/ con l'URL del sito SharePoint.

    Nota

    Nell'esempio seguente, all'app di interazione con i clienti viene concessa l'autorizzazione per la raccolta siti di SharePoint specificata utilizzando il parametro –Scope site collection. Il parametro Scope accetta le seguenti opzioni. Selezionare l'ambito più appropriato alla configurazione di SharePoint.

    • site. Concede alle app di interazione con i clienti l'autorizzazione solo per il sito Web di SharePoint specificato. Non concede le autorizzazioni per i siti secondari nel sito denominato.
      • sitecollection. Concede alle app di interazione con i clienti l'autorizzazione per tutti i siti Web e i siti secondari nella raccolta siti SharePoint specificata.
      • sitesubscription. Concede alle app di interazione con i clienti l'autorizzazione per tutti i siti Web nel farm SharePoint, incluse tutte le raccolte di siti, i siti Web e i siti secondari.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Impostare il tipo di mapping dell'autenticazione basata sulle attestazioni.

    Importante

    Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail dell'account Microsoft e l'indirizzo e-mail di lavoro di SharePoint locale dell'utente per eseguire mapping. Se questo metodo viene utilizzato, gli indirizzi e-mail dell'utente devono corrispondere nei due sistemi. Per ulteriori informazioni, vedere Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Eseguire la procedura guidata Abilita integrazione di SharePoint basata su server

Segui questi passaggi:

  1. Verifica di avere le autorizzazioni appropriate per eseguire la procedura guidata. Altre informazioni: Autorizzazioni richieste

  2. Vai a Impostazioni>Gestione dei documenti.

  3. Nell'area Gestione dei documenti, fai clic su Abilita integrazione di SharePoint basata su server.

  4. Esamina le informazioni e fai clic su Avanti.

  5. Per i siti di SharePoint, fai clic su Locale e quindi su Avanti.

  6. Immettere l'URL della raccolta siti SharePoint on-premises, ad esempio https://sharepoint.contoso.com/sites/crm. Il sito deve essere configurato per SSL.

  7. Fare clic su Avanti.

  8. La sezione di convalida siti viene visualizzata. Se tutti i siti vengono ritenuti validi, fai clic su Abilita. Se uno o più siti sono dichiarati non validi, vedere Risoluzione dei problemi dell'autenticazione basata su server.

Selezionare le entità da includere nella gestione dei documenti

Per impostazione predefinita, sono incluse le entità account, articolo, lead, prodotto, offerta e documentazione di vendita. È possibile aggiungere o rimuovere le entità da utilizzare per la gestione dei documenti con SharePoint in Impostazioni gestione dei documenti. Vai a Impostazioni>Gestione dei documenti. Ulteriori informazioni: Abilitare la gestione dei documenti per le entità

Aggiungere l'integrazione OneDrive for Business

Una volta completata la configurazione dell'autenticazione basata su server delle app di interazione con i clienti e di SharePoint locale, puoi integrare anche OneDrive for Business. Con l'integrazione delle app di interazione con i clienti e di OneDrive for Business, gli utenti possono creare e gestire documenti privati utilizzando OneDrive for Business. È possibile accedere a questi documenti dopo che l'amministratore di sistema ha abilitato OneDrive for Business.

Abilita OneDrive for Business

Nel Windows Server in cui è in esecuzione il server SharePoint locale, apri SharePoint Management Shell ed esegui i seguenti comandi:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni

Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail dell'account Microsoft e l'indirizzo e-mail di lavoro di SharePoint locale dell'utente per il mapping. Nota che indipendentemente dal tipo di autenticazione basata sulle attestazioni utilizzato, i valori, ad esempio gli indirizzi e-mail, devono corrispondere tra le app di interazione con i clienti e SharePoint. La sincronizzazione delle directory di Microsoft 365 può facilitare le operazioni. Ulteriori informazioni: Distribuire Microsoft 365 Directory Synchronization in Microsoft Azure. Per utilizzare un altro tipo di mapping dell'autenticazione basata sulle attestazioni, vedi Definire il mapping attestazioni personalizzato per l'integrazione di SharePoint basata su server.

Importante

Per abilitare la proprietà dell'e-mail di lavoro, SharePoint on-premises deve disporre di un'applicazione del servizio di profilo utente configurata e avviata. Per abilitare l'applicazione del servizio del profilo utente in SharePoint, vedere Creare, modificare o eliminare le applicazioni del servizio del profilo utente in SharePoint Server 2013. Per modificare una proprietà dell'utente, ad esempio l'e-mail di lavoro, vedere Modificare una proprietà del profilo utente. Per ulteriori informazioni sull'applicazione del profilo utente, vedi Panoramica dell'applicazione del servizio del profilo utente in SharePoint Server 2013.

Vedi anche

Risoluzione dei problemi dell'autenticazione basata su server
Configurare l'integrazione di SharePoint con le app di interazione con i clienti