Konfiguracija preverjanja pristnosti s strežnikom SharePoint na mestu uporabe

  • Članek

Strežniška integracija storitve SharePoint za upravljanje dokumentov se lahko uporablja za povezovanje aplikacij za interakcijo s strankami (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing in Dynamics 365 Project Service Automation) s storitvijo SharePoint na mestu uporabe. Pri uporabi strežniškega preverjanja pristnosti Microsoft Entra se domenske storitve uporabljajo kot posrednik zaupanja in uporabnikom se ni treba prijaviti SharePoint.

Zahtevana dovoljenja

Za omogočanje upravljanja dokumentov SharePoint so potrebna naslednja članstva in pravice.

  • Članstvo za globalne skrbnike za Microsoft 365 – to je potrebno za:

    • Dostop na ravni skrbnika do naročnine za Microsoft 365.
    • Izvajanje čarovnika za omogočanje preverjanja pristnosti v strežniku.
    • Izvajanje ukazov cmdlet AzurePowerShell.

  • Pravica za Power Apps Zagon čarovnika za integracijo okolja SharePoint. To je zahtevano za zagon čarovnika za omogočanje preverjanja pristnosti v strežniku.

    Privzeto ima varnostna vloga skrbnika sistema to pravico.

  • Za integracijo na mestu uporabe aplikacije SharePoint je potrebno članstvo v skupini skrbnikov gruče za SharePoint. To je potrebno za izvajanje večine ukazov PowerShell na SharePoint strežniku.

Nastavitev preverjanja pristnosti med strežniki z mestom SharePoint na mestu uporabe

Upoštevajte korake v navedenem zaporedju in nastavite aplikacije za interakcijo s strankami z mestom SharePoint 2013 na mestu uporabe.

Pomembno

Tukaj opisane korake morate dokončati v navedenem zaporedju. Če določeno opravilo ni dokončano, npr. ukaz PowerShell, ki vrne sporočilo o napaki, je treba težavo odpraviti, preden nadaljujete z naslednjim ukazom, opravilom ali korakom.

Preverjanje zahtev

Pred konfiguracijo aplikacij za interakcijo s strankami in mesta SharePoint na mestu uporabe za preverjanje pristnosti v strežniku je treba izpolniti naslednje zahteve:

Zahteve SharePoint

  • SharePoint 2013 (na mestu uporabe) s servisnim paketom 1 (SP1) ali novejšo različico

    Pomembno

    Različice SharePoint Foundation 2013 niso podprte za uporabo z upravljanjem dokumentov v aplikacijah za interakcijo s strankami.

  • Namestite zbirno posodobitev iz aprila 2019 za družino izdelkov SharePoint 2013. Ta zbirna posodobitev iz aprila 2019 vključuje vse popravke SharePoint 2013 (vključno vse varnostne popravke SharePoint 2013), izdane od SP1. Zbirna posodobitev iz aprila 2019 ne vključuje SP1. Namestiti morate SP1, da boste lahko nato namestili zbirno posodobitev iz aprila 2019. Več informacij: KB4464514 – zbirna posodobitev iz aprila 2019 za strežnik SharePoint 2013

  • Konfiguracija storitve SharePoint

    • Če uporabljate SharePoint 2013, je za vsako gručo SharePoint za strežniško integracijo mogoče konfigurirati le eno aplikacijo za interakcijo s strankami.

    • Spletno mesto SharePoint mora biti dostopno prek interneta. Za preverjanje pristnosti mesta SharePoint je morda zahtevan obratni proxy. Več informacij: Konfiguracija naprave z obratnim proxyjem za hibridni SharePoint Server 2013

    • Spletno mesto SharePoint mora biti konfigurirano za uporabo protokola SSL (HTTPS) v vratih TCP 443 (vrata po meri niso podprta), potrdilo pa mora izdati javen in zaupanja vreden overitelj potrdil. Več informacij: SharePoint : Potrdila varnega kanala SSL

    • Zanesljiva uporabniška lastnost za preslikavo preverjanja pristnosti na osnovi zahtevkov med mestom SharePoint in aplikacijami za interakcijo s strankami. Več informacij: Izbira vrste preslikave zahtevkov

    • Za skupno rabo dokumentov mora biti omogočena iskalna storitev SharePoint. Več informacij: Ustvarjanje in konfiguracija aplikacije za storitev iskanja v strežniku SharePoint

    • Za funkcijo upravljanja dokumentov pri uporabi mobilnih aplikacij Dynamics 365 mora biti strežnik SharePoint na mestu uporabe na voljo prek interneta.

Druge zahteve

  • Licenca za SharePoint Online. Aplikacije Customer Engagement za SharePoint preverjanje pristnosti v strežniku na mestu uporabe morajo imeti glavno ime storitve (SPN), registrirano SharePoint v Microsoft Entra ID-ju. Za to je potrebna najmanj ena uporabniška licenca za SharePoint Online. Licenca za SharePoint Online lahko izhaja iz licence za enega uporabnika in običajno izvira iz ene od teh možnosti:

    • Naročnina na SharePoint Online. Zadostuje kateri koli paket SharePoint Online, tudi če licenca ni dodeljena nobenemu uporabniku.

    • Naročnina na Microsoft 365, ki vključuje SharePoint Online. Na primer, če imate Microsoft 365 E3, imate primerno licenco, tudi če ni dovoljena nobenemu uporabniku.

      Če želite več informacij o teh načrtih, glejte temi Poiščite pravo rešitev za vas in Primerjava možnosti storitve SharePoint

  • Za izvajanje ukazov cmdlet PowerShell, opisanih v tej temi, se zahtevajo naslednje funkcije programske opreme:

    • Pomočnik za vpis v storitve Microsoft Online Services za strokovnjake IT Beta

    • MSOnlineExt

    • Če želite namestiti modul MSOnlineExt, vnesite naslednji ukaz kot skrbnik seje modula PowerShell. PS> Install-Module -Name "MSOnlineExt"

    Pomembno

    V času nastajanja tega dokumenta je obstajala težava z različico RTW pomočnika za vpis v storitve Microsoft Online Services za strokovnjake IT. Dokler težava ni odpravljena, je priporočena uporaba različice Beta. Več informacij:Forumi: Microsoft Azure Modula za Windows PowerShell ni mogoče namestiti Microsoft Entra . MOSSIA ni nameščena.

  • Ustrezen tip preslikave preverjanja pristnosti na osnovi zahtevkov za preslikavo identitet med aplikacijami za interakcijo s strankami in mestom SharePoint na mestu uporabe. Privzeto je uporabljen e-poštni naslov. Več informacij: Podelitev dovoljenja aplikacijam za interakcijo s strankami za dostop do mesta SharePoint in konfiguracija preslikave preverjanja pristnosti na osnovi zahtevkov

Posodobitev omrežja SPN strežnika SharePoint v Microsoft Entra domenskih storitvah

V strežniku SharePoint na mestu uporabe v lupini za upravljanje mesta SharePoint 2013 zaženite te ukaze PowerShell v navedenem zaporedju.

  1. Pripravite sejo PowerShell.

    Z naslednjimi ukazi »cmdlet« v računalniku omogočite prejemanje oddaljenih ukazov in dodajte module Microsoft 365 v sejo PowerShell. Če želite več informacij o teh ukazih »cmdlet«, glejte temo Ukazi »cmdlet« za jedro lupine Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Vzpostavite povezavo s storitvijo Microsoft 365.

    Ko zaženete ukaz »Connect-MsolService«, morate podati veljaven Microsoftov račun, ki ima članstvo za globalnega skrbnika za potrebno licenco SharePoint Online.

    Če želite podrobne informacije o vsakem Microsoft Entra od ukazov IDPowerShell, navedenih tukaj, glejte Upravljanje Microsoft Entra z lupino Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Nastavite ime gostitelja za mesto SharePoint.

    Vrednost, ki ste jo nastavili za spremenljivko HostName, mora biti celotno ime gostitelja zbirke mest SharePoint. Ime gostitelja mora biti izpeljano iz URL-ja zbirke mest ter razlikuje med velikimi in malimi črkami. V tem primeru je URL zbirke mest <https://SharePoint.constoso.com/sites/salesteam>, tako da je ime gostitelja SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Pridobite ID objekta (najemnik) Microsoft 365 in glavno ime storitve (SPN) za mesto SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Nastavite SharePoint glavno ime strežniške storitve (SPN) v ID-ju Microsoft Entra .

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Ko se ti ukazi dokončajo, lupine za upravljanje SharePoint 2013 ne zaprite, temveč nadaljujte na naslednji korak.

Posodobitev sfere SharePoint, da se ujema s sfero SharePoint Online

V strežniku SharePoint na mestu uporabe v lupini za upravljanje SharePoint 2013 zaženite ta ukaz Windows PowerShell.

Naslednji ukaz zahteva članstvo za skrbnika gruče SharePoint in nastavi sfero preverjanja pristnosti gruče SharePoint na mestu uporabe.

Pozor

S tem ukazom se spremeni sfera preverjanja pristnosti za gručo SharePoint na mestu uporabe. Pri aplikacijah, ki uporabljajo obstoječo storitev varnostnih žetonov (STS), lahko to povzroči nepričakovano vedenje z drugimi aplikacijami, ki uporabljajo žetone za dostop. Več informacij: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Ustvarjanje zaupanja vrednega izdajatelja varnostnega žetona za Microsoft Entra ID on SharePoint

V strežniku SharePoint na mestu uporabe v lupini za upravljanje mesta SharePoint 2013 zaženite te ukaze PowerShell v navedenem zaporedju.

Naslednji ukazi zahtevajo članstvo za skrbnika gruče SharePoint.

Če si želite ogledati podrobne informacije o teh ukazih PowerShell, glejte temo Uporaba ukazov »cmdlet« lupine Windows PowerShell za izvajanje zaščite v mestu SharePoint 2013.

  1. Če želite izvesti spremembe v storitvi varnostnih žetonov za gručo SharePoint, omogočite sejo PowerShell.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Nastavite končno točko za metapodatke.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Ustvarite nov strežnik proxy aplikacije za nadzor žetonov v Microsoft Entra ID-ju.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    opomba,

    Ukaz New- SPAzureAccessControlServiceApplicationProxy lahko vrne sporočilo o napaki, da proxy aplikacija z istim imenom že obstaja. Če imenovana proxy aplikacija že obstaja, lahko prezrete napako.

  4. Ustvarite novega izdajatelja storitve nadzora žetonov v SharePoint na mestu uporabe za Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Podelitev dovoljenja aplikacijam za interakcijo s strankami za dostop do mesta SharePoint in konfiguracija preslikave preverjanja pristnosti na osnovi zahtevkov

V strežniku SharePoint na mestu uporabe v lupini za upravljanje mesta SharePoint 2013 zaženite te ukaze PowerShell v navedenem zaporedju.

Naslednji ukazi zahtevajo članstvo za skrbnika zbirke mest SharePoint.

  1. Aplikacije za interakcijo s strankami registrirajte v zbirki mesta SharePoint.

    Vnesite URL zbirke mest SharePoint na mestu uporabe. V tem primeru se uporablja https://sharepoint.contoso.com/sites/crm/.

    Pomembno

    Če želite ta ukaz dokončati, potrebujete obstoječo proxy aplikacijo storitev za upravljanje z aplikacijami mesta SharePoint, ki se izvaja. Če želite več informacij o tem, kako zagnati in konfigurirati storitev, glejte podtemo »Konfiguracija nastavitev za naročnine in aplikacij storitve za upravljanje aplikacij« v temi Konfiguracija okolja za aplikacije za mesto SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Omogočite aplikacijam za interakcijo s strankami dostop do mesta SharePoint. Nadomestite https://sharepoint.contoso.com/sites/crm/ s svojim URL-jem mesta SharePoint.

    opomba,

    V naslednjem primeru je aplikacijam za interakcijo s strankami podeljeno dovoljenje za dostop do določene zbirke mest SharePoint na podlagi parametra »–Scope site collection«. Parameter obsega sprejema naslednje možnosti. Izberite obseg, ki je najprimernejši za vašo konfiguracijo SharePoint.

    • site. Aplikacijam za interakcijo s strankami dodeli dovoljenje za dostop le do določenega spletnega mesta SharePoint. Ne podeli dovoljenja za dostop do vseh podmest, ki jih vključuje imenovano mesto.
      • sitecollection. Aplikacijam za interakcijo s strankami dodeli dovoljenje za dostop do vseh spletnih mest in podmest v določeni zbirki mesta SharePoint.
      • sitesubscription. Aplikacijam za interakcijo s strankami dodeli dovoljenje za dostop do vseh spletnih mest v gruči SharePoint, vključno z vsemi zbirkami mesta, spletnimi mesti in podmesti.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Nastavite tip preslikave preverjanja pristnosti na osnovi zahtevkov.

    Pomembno

    Preslikava preverjanja pristnosti na osnovi zahtevkov bo za preslikavo privzeto uporabila uporabnikov e-poštni naslov Microsoftovega računa in uporabnikov e-poštni naslov za aplikacijo SharePoint na mestu uporabe in službeni e-poštni naslov. Če uporabite to možnost, se morata e-poštna naslova uporabnika v obeh sistemih ujemati. Za več informacij glejte Izbira vrste preslikave preverjanja pristnosti na osnovi zahtevkov.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Zagon čarovnika za omogočanje strežniške integracije z mestom SharePoint

Upoštevajte ta navodila:

  1. Preverite, ali imate ustrezno dovoljenje za zagon čarovnika. Več informacij: Zahtevana dovoljenja

  2. Odprite možnost Nastavitve>Upravljanje dokumentov.

  3. V območju Upravljanje dokumentov kliknite možnost Omogoči strežniško integracijo z mestom SharePoint.

  4. Preglejte informacije in nato kliknite Naprej.

  5. Za mesta SharePoint kliknite Na mestu uporabe in nato Naprej.

  6. Vnesite URL zbirke mest SharePoint na mestu uporabe, kot je na primer https://sharepoint.contoso.com/sites/crm. Mesto mora biti konfigurirano za protokol SSL.

  7. Kliknite Naprej.

  8. Prikaže se razdelek za preverjanje veljavnosti mest. Če so vsa mesta določena za veljavna, kliknite možnost Omogoči. Če je eno ali več mest določenih za neveljavna, glejte Odpravljanje težav pri preverjanju pristnosti v strežniku.

Izbira entitet, ki jih želite vključiti v upravljanje dokumentov

Privzeto so vključene entitete Kupec, Članek, Možna stranka, Izdelek, Ponudba in Prodajna dokumentacija. Entitete, ki bodo uporabljene za upravljanje dokumentov z mestom SharePoint, lahko dodate ali odstranite v možnosti Nastavitve upravljanja dokumentov. Odprite možnost Nastavitve>Upravljanje dokumentov. Več informacij: Omogočanje upravljanja dokumentov v entitetah

Dodajanje integracije za OneDrive za podjetja

Ko dokončate konfiguracijo preverjanja pristnosti v strežniku aplikacij za interakcijo s strankami in mesta SharePoint na mestu uporabe, lahko integrirate tudi storitev OneDrive za podjetja. Z integracijo aplikacij za interakcijo s strankami in storitve OneDrive za podjetja lahko uporabniki ustvarijo in upravljajo zasebne dokumente s storitvijo OneDrive za podjetja. Do teh dokumentov lahko dostopate, ko sistemski skrbnik omogoči storitev OneDrive za podjetja.

Omogočanje OneDrive za podjetja

V strežniku Windows Server, kjer se izvaja strežnik SharePoint na mestu uporabe, odprite lupino za upravljanje mesta SharePoint in izvedite naslednje ukaze:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Izbira tipa preslikave preverjanja pristnosti na osnovi zahtevkov

Preslikava preverjanja pristnosti na osnovi zahtevkov bo za preslikavo privzeto uporabila uporabnikov e-poštni naslov Microsoftovega računa in uporabnikov službeni e-poštni naslov za aplikacije SharePoint na mestu uporabe. Ne glede na uporabljen tip preverjanja pristnosti na osnovi zahtevkov se morajo vrednosti, kot so e-poštni naslovi, ujemati v aplikacijah za interakcijo s strankami in mestu SharePoint. Pri tem vam je lahko v pomoč sinhronizacija imenika Microsoft 365. Več informacij: Uvajanje sinhronizacije imenika Microsoft 365 v storitvi Microsoft Azure. Za uporabo druge vrste preslikave preverjanja pristnosti na osnovi zahtevkov glejte Določanje preslikave zahtevka po meri za strežniško integracijo z mestom SharePoint.

Pomembno

Če želite omogočiti lastnost »Službeni e-poštni naslov«, mora imeti mesto SharePoint na mestu uporabe konfigurirano in zagnano storitveno aplikacijo uporabniškega profila. Če želite storitveno aplikacijo uporabniškega profila omogočiti v mestu SharePoint, glejte temo Ustvarjanje, urejanje ali brisanje storitvenih aplikacij uporabniškega profila v mestu SharePoint Server 2013. Če želite spremeniti uporabniško lastnost, npr. Službeni e-poštni naslov, glejte temo Urejanje lastnosti uporabniškega profila. Če želite več informacij o storitveni aplikaciji uporabniškega profila, glejte temo Pregled storitvene aplikacije uporabniškega profila v mestu SharePoint Server 2013.

Glejte tudi

Odpravljanje težav s preverjanjem pristnosti v strežniku
Nastavitev integracije mesta SharePoint z aplikacijami za interakcijo s strankami