Configurați autentificarea bazată pe server cu Customer Engagement (on-premises) și SharePoint on-premises

Articol
06/22/2022
13 minute de lectură

Hinweis

Dacă ați activat modul Numai Interfața unificată, procedați astfel înainte de a utiliza procedurile din acest articol:

Selectați Setări () pe bara de navigare.
Selectați Setări complexe.

Acest subiect descrie cum să configurați integrarea bazată pe server între Dynamics 365 Customer Engagement (on-premises) și Microsoft SharePoint local.

Configurați integrarea bazată pe server cu Customer Engagement (on-premises) și SharePoint

Urmați pașii, în ordinea prevăzută, pentru a configura Customer Engagement (on-premises) cu Serverul Microsoft SharePoint local.

Wichtig

Comenzile PowerShell ar trebui să fie executate în modul administrator. Vedea: Cum lansez PowerShell?
Dacă o sarcină nu este finalizată, de exemplu, dacă o comandă PowerShell returnează un mesaj de eroare, problema trebuie rezolvată înainte de a continua la următoarea comandă, sarcină sau la următorul pas.
După ce activați integrarea SharePoint bazată pe server, nu veți putea reveni la metoda de autentificare anterioară bazată pe client. Prin urmare, aveți posibilitatea să utilizați Componenta listă Microsoft Dynamics CRM după ce ați configurat organizația dvs. de aplicații Customer Engagement (on-premises) pentru integrare bazată pe server SharePoint.

Verificarea cerințelor preliminare

Înainte de a configura Customer Engagement (on-premises) și SharePoint (on-premises) pentru integrarea bazată pe server, sunt necesare următoarele permisiuni și trebuie îndeplinite următoarele condiții esențiale.

Permisiuni necesare

Customer Engagement (on-premises)

Administrator de sistem rol de securitate - acest lucru este necesar pentru a rula asistentul Activare Integrării SharePoint bazată pe server în Customer Engagement (on-premises).
Dacă utilizați un certificat autosemnat pentru scopuri de evaluare, trebuie să aveți calitatea de membru al grupului Administratori local pe computerul pe care rulează Dynamics 365 Server.

SharePoint local

Calitatea de membru al grupului Administratori de fermă - acest lucru este necesar pentru a rula cele mai multe dintre comenzile Windows PowerShell de pe serverul SharePoint.

Cerințe preliminare SharePoint

Una dintre următoarele versiuni SharePoint:
- Ediția cu abonament la serviciul Sharepoint.
- SharePoint 2019 local.
  
  Integrare bazată pe server între Dynamics 365 Customer Engagement (on-premises) și Microsoft SharePoint 2019 local necesită Microsoft Dynamics 365 Server, v9.0 (local) Actualizarea 0.13 , sau o versiune ulterioară.
- SharePoint 2016 local.
- Microsoft SharePoint 2013 local cu pachetul Service Pack 1 (SP1) sau o versiune ulterioară cu următoarele actualizări.
  - Instalați Actualizarea cumulativă (CU) din aprilie 2019 pentru produse de familie SharePoint 2013. În această versiune din aprilie 2019, CU include toate remedierile SharePoint 2013 (inclusiv toate remedierile de securitate SharePoint 2013) lansate după SP1. CU din aprilie 2019 nu include SP1. Trebuie să instalați SP1 înainte de a instala CU-ul din aprilie 2019.
    - KB4464512 – SharePoint Fundația 2013 aprilie 2019 CU
    - KB4464514 - SharePoint Server 2013 aprilie 2019 CU
    - KB4464513 – Server proiect 2013 aprilie 2019 CU
Configurare SharePoint
- SharePoint trebuie configurat pentru o implementare unică pe fermă.
- Pentru a utiliza maparea implicită a autentificării bazate pe solicitări, domeniul Active Directory în care sunt amplasate serverul SharePoint și Dynamics 365 Server trebuie să fie același sau domeniul pe care se află serverul SharePoint trebuie să aibă încredere în domeniul în care este amplasat Dynamics 365 Server. Informații suplimentare: Despre maparea autentificării bazate pe solicitări
- Site-ul web SharePoint trebuie să fie configurat pentru a utiliza TLS/SSL (HTTPS) și certificatul trebuie să fie emis de o autoritate de certificare rădăcină publică. Informații suplimentare: SharePoint : despre certificate Secure Channel SSL
- Proxy-ul serviciului de gestionare a aplicațiilor trebuie să fie creat și pornit. Informații suplimentare: Configurați un mediu pentru aplicații pentru SharePoint
- O aplicație de serviciu de profil pentru utilizator trebuie să fie configurată și pornită. Informații suplimentare: Crearea, editarea sau ștergerea aplicațiilor de serviciu pentru profilul de utilizator în Server SharePoint 2013
- Pentru partajarea documentelor, trebuie să fie activat serviciul de căutare SharePoint. Informații suplimentare: Crearea și configurarea unei aplicații serviciu de căutare în SharePoint Server
- Pentru funcționalitatea de gestionare a documentelor în timpul utilizării aplicațiilor mobile Microsoft Customer Engagement (on-premises), trebuie ca serverul SharePoint local să fie disponibil pe internet.
- Pentru a permite utilizatorilor abilitatea de a crea biblioteci de documente SharePoint din Customer Engagement (on-premises), sunt necesare următoarele permisiuni și configurări:
  - Contul de Customer Engagement (on-premises) Active Directory trebuie să fie un membru al grupului de membri pe site-ul SharePoint de colectare unde sunt stocate documentele.
  - În mod implicit, maparea autentificării pe bază de solicitări va utiliza adresa de e-mail Customer Engagement (on-premises) a utilizatorului SharePoint și adresa utilizatorului SharePoint și adresa de e-mail de la locul de muncă pentru mapare. Când utilizați maparea, adresele de e-mail ale utilizatorului trebuie să corespundă între cele două sisteme. Informații suplimentare: Configurați maparea revendicărilor utilizatorului utilizând adresa de e-mail SharePoint

Alte cerințe preliminare și limitări

Certificatul digital X509 de utilizat pentru autentificarea bazată pe server între serverele Dynamics 365 Server și SharePoint. Cheile de certificate trebuie să aibă criptare pe minimum 2.048 de biți. În majoritatea cazurilor, acest certificat trebuie eliberat de o autoritate de certificare de încredere, dar în scopuri de evaluare, puteți utiliza un certificat autosemnat.
Identitatea pentru rezervorul de aplicații CRMAppPool trebuie să aibă acces de citire pentru certificatul x509 care va fi utilizat pentru autentificarea bazată pe server cu Dynamics 365 Server și serverul SharePoint. Puteți folosi utilitarul snap-in MMC Certificate pentru a acorda acest acces.
Dacă utilizați Microsoft SharePoint 2013, pentru fiecare fermă SharePoint poate fi configurată o singură organizație Customer Engagement (on-premises) pentru integrarea bazată pe server. Totuși, puteți conecta mai multe organizații Customer Engagement (on-premises) la o fermă de servere SharePoint 2016.

Pregătiți Dynamics 365 Server pentru integrarea bazată pe server

CertificateReconfiguration.ps1 este un script Windows PowerShell care instalează un certificat în depozitul de certificate local, acordă accesul specificat pentru identitatea de serviciu de procesare Microsoft Dynamics 365 asincronă la certificat și actualizează Dynamics 365 Server pentru a utiliza certificatul.

Adăugați certificatul server-la-server în depozitul de certificate local și în baza de date Customer Engagement (on-premises) de configurare

Deschideți o sesiune de comandă PowerShell pe toate serverele în care este instalat rolul Server complet Dynamics 365 Server.

Wichtig

Trebuie să executați comanda descrisă aici pe toate serverele pe care rulează serverul de aplicații web.

Schimbați-vă locația în <drive>:\Program Files\Microsoft Dynamics CRM\Tools folder.
Executați scriptul Windows PowerShell CertificateReconfiguration.ps1 așa cum este explicat aici:
- FișierCertificat cale\FișierCertifPersonal.pfx . Parametru necesar care menționează calea completă la fișierul Exchange de informații personale (.pfx). Mai multe informații: lucrul cu certificate digitale
- parolă personal_fișiercert_parolă. Parametru necesar care specifică parola certificatului privat.
- certificateType S2STokenIssuer. Parametru necesar care specifică tipul de certificat. Pentru integrarea pe bază de server Customer Engagement (on-premises) și SharePoint este acceptat doar S2STokenIssuer.
- serviceAccount ‘DomainName\UserName’ sau ‘Network Service’.
```
serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.
```
- updateCrm. Adaugă informațiile despre certificat la baza de date de configurare Microsoft Customer Engagement (on-premises).
  
  Wichtig
  
  Dacă ați implementat mai multe roluri Web Application Server sau Serviciu asincron, trebuie doar să rulați comanda cu parametrul updateCrm o dată.
- storeFindType FindBySubjectDistinguishedName. Specifică tipul de depozit de certificate. În mod implicit, această valoare este FindBySubjectDistinguishedName și este recomandată atunci când rulați scriptul.
Wichtig

Deși parametrii updateCrm și StoreFindType sunt opționali pentru a rula comanda, acești parametri sunt necesari pentru integrarea SharePoint bazată pe server pentru ca informațiile despre certificat să fie adăugate în baza de date de certificare.

Exemplu
```
.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
```

Pregătiți ferma SharePoint pentru integrare bazată pe server

Obținerea ID-ului de domeniu Dynamics 365

Porniți asistentul Activare integrare SharePoint pe bază de server. Accesați Setări > Gestionare documente.
Selectați Următorul, selectați Local și apoi Următorul.
ID-ul este afișat pe pagină lângă ID Realm Dynamics 365.

Tipp

Salvați ID-ul de domeniu Dynamics 365 într-un fișier text într-o partajare de rețea securizată sau într-un spațiu de stocare bazat pe cloud. Apoi îl veți putea regăsi cu ușurință din locația de unde rulați Activați expertul de integrare SharePoint bazată pe server SharePoint

Pe serverul local SharePoint în componenta de administrare SharePoint, rulați aceste comenzi PowerShell în ordinea dată.

Pregătiți serverul SharePoint pentru autentificarea Dynamics 365 Server

Dacă utilizați o componentă de administrare PowerShell care nu este componenta de administrare SharePoint, trebuie să înregistrați modulul SharePoint utilizând următoarea comandă.
```
Add-PSSnapin Microsoft.SharePoint.PowerShell
```
Activați sesiunea PowerShell pentru a face modificări serviciului simbol de securitate pentru ferma SharePoint.
```
$c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()
```
Creați obiectul serviciu simbol de securitate de încredere, în care OrganizationName este numele unic al organizației Customer Engagement (on-premises) și CrmServer este numele IIS al serverului web unde este instalat rolul de server al aplicației web Customer Engagement (on-premises) iar -Nume „crm” este utilizat pentru a denumi serverul simbol securitate (STS).
Wichtig
- Conectarea mai multor organizații Customer Engagement (on-premises) la o singură fermă de servere Microsoft SharePoint 2013 nu este acceptată. Totuși, puteți conecta mai multe organizații Customer Engagement (on-premises) la o fermă de servere SharePoint 2016.
- Când rulați comanda New-SPTrustedSecurityTokenIssuer PowerShell trebuie să specificați HTTPS for punctul final al metadatelor Customer Engagement (on-premises) când site-ul web Customer Engagement (on-premises) are doar HTTPS sau atât HTTPS cât și legături HTTP, precum următorul exemplu.
```
New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
```
Înregistrați Customer Engagement (on-premises) cu colecția de site-uri SharePoint.

Pentru a rula următoarele comenzi, trebuie să specificați doi parametri:
- URL-ul colecției de site-uri locale SharePoint. În exemplul de aici,https://sharepoint.contoso.com/sites/crm/ este utilizat pentru adresa URL a colecției de site-uri.
- CrmRealmId este ID-ul organizației Customer Engagement (on-premises) pe care doriți s-o utilizați pentru gestiunea documentelor cu SharePoint. Informații suplimentare: Obțineți ID-ul domeniului Dynamics 365
Wichtig

Pentru a finaliza aceste comenzi, proxy-ul de aplicație al serviciului de gestionare a aplicațiilor SharePoint trebuie să existe și să funcționeze. Pentru mai multe informații despre cum să porniți și să configurați serviciul, consultați subiectul Configurarea setărilor de abonare și gestionarea aplicațiilor de serviciu în Configurarea unui mediu pentru aplicații pentru SharePoint .
```
$CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
```
Acordați Customer Engagement (on-premises) acces la site-ul SharePoint.
Hinweis

În exemplul de mai jos, Customer Engagement (on-premises) primește permisiunea pentru colecția de site-uri SharePoint specificată, folosind parametrul Domeniu de aplicare sitecollection. Parametrul Domeniu de aplicare acceptă următoarele opțiuni. Utilizați domeniul cel mai potrivit pentru configurația dvs. SharePoint:
- site. Acordă Customer Engagement (on-premises) permisiunea doar pentru site-ul SharePoint specificat. Nu acordă permisiune pentru niciun subsite de sub site-ul numit.
- sitecollection. Acordă Customer Engagement (on-premises) permisiunea pentru toate site-urile web și subsite-urile din colecția de site-uri SharePoint specificată.
- sitesubscription. Acordă Customer Engagement (on-premises) permisiunea pentru toate site-urile web din ferma SharePoint, inclusiv toate colecțiile de site-uri, site-urile web și subsite-urile.
```
$app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
```

Rulați Activați expertul activare integrare SharePoint bazată pe server

În Customer Engagement (on-premises), accesați Setări > Gestionare documente.
În zona gestionare documente, selectați Activare integrare SharePoint bazată pe server.
Revizuiți informațiile, apoi selectați Următorul.
Pentru site-urile SharePoint, selectați Local, apoi selectați Următorul.
În faza Pregătiți site-urile, introduceți următoarele informații:
- Colecția de site-uri locale SharePoint URL, precum https://sharepoint.contoso.com/sites/crm. Site-ul trebuie configurat pentru TLS/SSL.
- SharePoint ID Domeniu. Obținerea ID-ului de domeniu SharePoint
Selectați Următorul.
Apare secțiunea de validare site-uri. Dacă toate site-urile sunt valide, selectați Activare. Dacă unul sau mai multe situri sunt invalide, consultați Depanarea Dynamics 365 Server la integrarea bazată pe server SharePoint server local.

Selectați entitățile pe care doriți să le includeți în gestionarea documentelor

În mod implicit, sunt incluse entitățile Cont, Articol, Client potențial, Produs, Ofertă și Literatură de vânzări. Puteți să adăugați sau să eliminați entitățile care vor fi utilizate pentru gestionarea documentelor cu SharePoint în Setările de gestionare a documentelor pentru aplicații Customer Engagement. Accesați Setări > Gestionare documente. Pentru mai multe informații: Activați gestionarea documentelor SharePoint pentru anumite entități.

Adăugarea integrării OneDrive for Business

După ce terminați configurarea integrării locale bazate pe server Customer Engagement (on-premises) și SharePoint, puteți integra și OneDrive pentru Business. Cu integrarea Customer Engagement (on-premises) OneDrive pentru afaceri, utilizatorii Customer Engagement (on-premises) pot crea și gestiona documente private utilizând OneDrive pentru afaceri. Acele documente pot fi accesate în cadrul Customer Engagement (on-premises) odată ce administratorul de sistem a activat OneDrive pentru afaceri.

Activați OneDrive pentru Business

Pe acel Windows Server pe care rulează SharePoint Server On-Premises, deschideți componenta de administrare SharePoint și rulați următoarele comenzi.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=&quot;&quot;true&quot;&quot;><AppPermissionRequest Scope=&quot;&quot;https://sharepoint/content/tenant&quot;&quot; Right=&quot;&quot;FullControl&quot;&quot; /><AppPermissionRequest Scope=&quot;&quot;https://sharepoint/social/tenant&quot;&quot; Right=&quot;&quot;Read&quot;&quot; /><AppPermissionRequest Scope=&quot;&quot;https://sharepoint/search&quot;&quot; Right=&quot;&quot;QueryAsUserIgnoreAppPrincipal&quot;&quot; /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Depanare Customer Engagement (on-premises) la integrare SharePoint Server On-Premises pe bază de server

Pentru informații despre cum se depanează expertul Activați expertul de integrare SharePoint bazată pe server și vizualizarea jurnalelor de monitorizare SharePoint consultați Depanarea autentificării bazate pe server.

Probleme cunoscute

Pentru gestionarea documentației cu depanare SharePoint și probleme cunoscute, a se vedea Depanarea autentificării bazate pe server.

Despre maparea autentificării bazate pe solicitări

Când utilizați maparea de autentificare bazată pe revendicări, domeniul Active Directory unde sunt localizate serverul SharePoint și Dynamics 365 Server trebuie să fie aceleași. Serverele localizate în diferite păduri sau domenii Active Directory nu sunt acceptate. În mod similar, utilizatorii care sunt localizați în domenii externe fie pe Dynamics 365 Server fie pe SharePoint Server nu vor avea acces la documente.

În mod implicit, autentificarea bazată pe server între Customer Engagement (on-premises) și SharePoint local utilizează identificatorul de securitate (SID) al utilizatorului pentru a autentifica fiecare utilizator. Dacă doriți să utilizați o mapare de autentificare bazată pe revendicări personalizate, cum ar fi adresa de e-mail a utilizatorului, consultați Definiți maparea revendicărilor personalizate pentru SharePoint integrare bazată pe server

Configurați maparea revendicărilor utilizatorului utilizând adresa de e-mail SharePoint

Deschideți editor de formular pentru a personaliza formularul de utilizator. Pentru a face acest lucru, accesați Setări > Securitate > Utilizatori, apoi deschideți înregistrarea utilizatorului pe care o doriți.
Pe bara de unelte, selectați … și apoi selectați Editor formular.
Găsiți câmpul Adresă de e-mail SharePoint în panoul Explorator câmpuri și glisați și fixați-l pe secțiunea Informație utilizator a formularului de utilizator.
Pe bara de instrumente a editorului de formular, selectați Salvare, apoi selectați Publicare.
Închideți editor formular și reîmprospătați fila browserului web pentru a afișa câmpul nou adăugat în înregistrarea utilizatorului.
În câmpul înregistrarea utilizatorului SharePoint Adresă de email, introduceți adresa de e-mail a utilizatorului exact așa cum apare SharePoint.
Selectați Salvare.
Repetați cei doi pași precedenți pentru toți utilizatorii care vor avea nevoie de gestionarea documentelor.

Lucrul cu certificatele digitale

Următoarea procedură creează un fișier pentru schimb de informații cu caracter personal (.pfx).

Pe un computer care are acces la certificatul pe care doriți să îl utilizați pentru autentificarea server-la-server, selectați Start, selectați Rulare, tastați MMC, apoi apăsați Enter.
Selectați Fișier, apoi selectați Adăugare/eliminare snap-in.
În lista de utilitare snap-in disponibile, selectați Certificate, selectați Adăugare, selectați Cont computer, selectați Următorul, pe Terminat pentru a selecta computerul local, apoi selectați OK.
Extindeți Certificate, extindeți Personal, apoi selectați Certificate.
Faceți clic dreapta pe certificatul pe care doriți să-l utilizați pentru a crea un fișier de certificat personal, indicați spre Toate activitățile, apoi selectați Export.
Selectați Următorul, selectați Da pentru a exporta cheia privată, asigurați-vă că sunt bifate următoarele opțiuni, apoi selectați Următorul.
- Includeți toate certificatele din calea de certificare, dacă este posibil
- Exportați toate proprietățile extinse
Selectați Navigare și introduceți o locație și un nume de fișier pentru fișierul .pfx, apoi selectați Salvare.
Selectați Următorul, apoi selectați Terminați.

Obținerea ID-ului de domeniu SharePoint

Rulați următoarea comandă PowerShell în Componenta de administrare SharePoint, unde https://sharepoint.contoso.com/sites/crm/ este adresa UTL pentru colecția de site-uri SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Alternativ, puteți găsi ID-ul de domeniu SharePoint în setarea permisiunilor aplicației de pe site pentru colecția de site-uri SharePoint.

Conectați-vă la colecția de site-uri SharePoint pe care o veți folosi pentru gestionarea documentelor cu Customer Engagement (on-premises).
Accesați Setări de site > Permisiuni aplicație site.
ID-ul de domeniu este afișat sub Identificator aplicație, în partea dreaptă a semnului @. Copiați-l în clipboard. În Activați expertul de integrare SharePoint bazată pe server, lipiți doar GUID. Nu lipiți nicio parte a identificatorului la stânga semnului @.