Konfigurace serverového ověřování u aplikace Dynamics CRM Online a služby SharePoint (místní)

 

Publikováno: listopad 2016

Platí pro: Dynamics CRM 2015

V aplikaci Microsoft Dynamics CRM Online 2015 – aktualizace 1 byla představena serverová integrace se službou Microsoft SharePoint pro správu dokumentů, pomocí které lze nyní propojit aplikaci Microsoft Dynamics CRM Online se službou SharePoint (místní). Při použití serverového ověřování se jako zprostředkovatel důvěryhodnosti používá služba řízení přístupu Azure Active Directory (ACS) a uživatelé se nemusejí přihlašovat ke službě SharePoint. Kromě toho není ovládací prvek seznamu, který vyžaduje zastaralé sandboxové funkce služby SharePoint, nezbytný k zobrazení dokumentů služby SharePoint v zobrazeních aplikace Microsoft Dynamics 365.

Požadována oprávnění

Office 365

• Členství ve skupině Globální správci služby Office 365. To je vyžadováno pro přístup na úrovni správce k odběru služby Microsoft Office 365 a spouštění rutin Microsoft AzurePowerShell.

Microsoft Dynamics CRM Online

• Oprávnění ke spuštění Průvodce integrací SharePointu. To je nutné ke spuštění průvodce povolením serverového ověřování v aplikaci Microsoft Dynamics 365.

  Role zabezpečení Správce systému má ve výchozím nastavení toto oprávnění.

SharePoint (místní)

• Členství ve skupině Správci farmy. To je nutné pro spuštění většiny příkladů aplikace PowerShell na příkazy serveru SharePoint.

Nastavení ověřování mezi servery u aplikace CRM Online a služby SharePoint (místní)

Podle kroků prováděných v uvedeném pořadí nastavte aplikaci CRM Online se službou SharePoint 2013 (místní).

Důležité

Zde popsané kroky musí být provedeny v uvedeném pořadí. Pokud úkol není dokončen, například v případě příkazu služby PowerShell, který vrátí chybovou zprávu, je třeba problém nejprve vyřešit a teprve poté je možné pokračovat k dalšímu příkazu, úloze či kroku.

Ověření předpokladů

Před konfigurací aplikace Microsoft Dynamics CRM Online a serveru SharePoint (místní) pro serverové ověřování je třeba splnit následující předpoklady.

Požadavky služby SharePoint

• Microsoft SharePoint 2013 (místní) s aktualizací Service Pack 1 (SP1) nebo novější verze

  Důležité

  Verze sady systému Microsoft SharePoint Foundation 2013 nejsou podporovány pro použití se správou dokumentů Microsoft Dynamics 365.

• Opravy hotfix KB2883081 pro systém SharePoint Foundation 2013, 12. srpna 2014 (Sts-x-none.msp)

  Důležité

  Následující aktualizace jsou požadavky na KB2883081 a mohou být také požadovány.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Konfigurace součásti SharePoint

  • Systém SharePoint musí být nakonfigurován pouze pro nasazení na jedné farmě.

  • Web systému SharePoint musí být přístupný z internetu. Reverzní proxy může být také vyžadováno pro ověřování systému SharePoint. Další informace: Konfigurace zařízení zpětného proxy pro hybridní systém SharePoint Server 2013

  • Web systému SharePoint musí být nakonfigurován pro použití protokolu SSL (HTTPS) a certifikát být vydán veřejným kořenovým certifikačním úřadem.Další informace:SharePoint: Informace o certifikátech zabezpečeného kanálu SSL

  • Vlastnost spolehlivého uživatele pro použití pro ověřování na základě deklarované identity mapování mezi službou SharePoint a aplikací Microsoft Dynamics 365.Další informace:Výběr typu mapování ověřování na základě deklarované identity

Další předpoklady

• Licence služby SharePoint Online. Serverové ověřování aplikace Microsoft Dynamics CRM Online na službu SharePoint (místní) musí mít hlavní název služby (SPN) SharePoint zaregistrován ve službě Azure Active Directory. K tomuto účelu je vyžadována alespoň jedna uživatelská licence služby SharePoint Online. Licenci služby SharePoint Online lze odvodit z jedné uživatelské licence a obvykle pochází z jedné z následujících možností:

  • Předplatné služby SharePoint Online. Stačí jakýkoli plán služby SharePoint Online, i když není licence přiřazená uživateli.

  • Předplatné služby Office 365, které obsahuje SharePoint Online. Pokud například máte Office 365 E3, máte k dispozici příslušné licence i v případě, že licence není přiřazena uživateli.

  Další informace o těchto plánech naleznete v částech Office 365: Výběr plánu a Porovnání možností služby SharePoint

• Ke spuštění rutin PowerShell popsaných v tomto tématu jsou potřeba následující softwarové funkce.

  • Pomocník pro přihlášení ke službám Microsoft Online Services pro odborníky z oblasti IT Beta

  • Modul Azure Active Directory pro prostředí Windows PowerShell (64bitová verze)

  Důležité

  V době psaní tohoto textu existuje problém s verzí RTW pomocníka pro přihlášení ke službám Microsoft Online Services pro odborníky z oblasti IT. Dokud nebude problém vyřešen, doporučujeme používat verzi Beta.Další informace:Fóra Microsoft Azure: Nelze nainstalovat modul Azure Active Directory pro prostředí Windows PowerShell. MOSSIA není nainstalováno.

• Vhodný typ mapování ověřování na základě deklarované identity pro mapování identit mezi aplikací Microsoft Dynamics CRM Online a službou SharePoint (místní). Ve výchozím nastavení se používá e-mailová adresa.Další informace:Udělení aplikaci Microsoft Dynamics CRM oprávnění k přístupu ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Aktualizace SharePoint Server SPN ve službě ACS

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

1. Připravte relaci prostředí PowerShell.

   Následující rutiny umožňují počítači příjem vzdálených příkazů a přidání modulů služby Office 365 do relace prostředí PowerShell. Další informace o těchto rutinách naleznete v tématu Rutiny jádra Windows PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Připojte se ke službě Office 365.

   Při spuštění příkazu Connect-MsolService je nutné zadat platné Účet Microsoft, jež má členství ve skupině Globální správce služby Office 365 pro licenci služby SharePoint Online, která je požadována.

   Podrobné informace o jednotlivých příkazech platformy Azure Active DirectoryPowerShell, které jsou zde uvedeny, naleznete v části MSDN: Správa Azure AD pomocí prostředí Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Nastavte název hostitele služby SharePoint.

   Hodnota, kterou jste nastavili pro proměnnou HostName, musí být kompletní název hostitele kolekce webů služby SharePoint. Název hostitele se odvozovat od adresy url kolekce webů a rozlišují se v něm velká a malá písmena. V tomto příkladu je adresou url kolekce webů https://SharePoint.constoso.com/sites/salesteam, takže název hostitele je SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Získejte id objektu (klienta) služby Office 365 a hlavní název služby (SPN) SharePoint Server.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Nastavte hlavní název služby (SPN) SharePoint Server ve službě ACS.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Po provedení těchto příkazů nezavírejte prostředí SharePoint 2013 Management Shell a pokračujte k dalšímu kroku.

Aktualizace sféry SharePoint, aby vyhovovala sféře SharePoint Online

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tento příkaz prostředí Windows PowerShell.

Následující příkaz vyžaduje členství správce farmy služby SharePoint a nastaví sféru ověření farmy systému SharePoint (místní).

Upozornění

Spuštění tohoto příkazu změní sféru ověřování farmy služby SharePoint (místní). Pro aplikace, které používají existující službu tokenů zabezpečení (STS), to může způsobit neočekávané chování v jiných aplikacích, které používají přístupové tokeny. Další informace: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Vytvoření vydavatele důvěryhodného bezpečnostního pro službu ACS ve službě SharePoint

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce farmy služby SharePoint.

Podrobné informace o těchto příkazech služby PowerShell naleznete v části Použití rutin prostředí Windows PowerShell ke správě zabezpečení služby SharePoint 2013.

1. Povolte relaci prostředí PowerShell, aby bylo možné provádět změny ve službě tokenů zabezpečení pro farmu prostředí SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Nastavení koncového bodu metadat.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Vytvoření nové proxy aplikace služby ovládacího prvku tokenu v prostředí ACS.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Poznámka

   Příkaz New- SPAzureAccessControlServiceApplicationProxy může vrátit chybovou zprávu oznamující, že proxy aplikace ACS se stejným názvem již existuje. Pokud již proxy aplikace ACS existuje, můžete chybu ignorovat.

4. Vytvoření nového vydavatele služby ovládacího prvku tokenu ve službě SharePoint (místní) pro prostředí ACS

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Udělení aplikaci Microsoft Dynamics CRM oprávnění k přístupu ke službě SharePoint a konfigurace mapování ověřování na základě deklarované identity

Na místním serveru služby SharePoint, v prostředí SharePoint 2013 Management Shell, spusťte tyto příkazy prostředí PowerShell v uvedeném pořadí.

Následující příkazy vyžadují členství správce kolekce webů služby SharePoint.

1. Zaregistrujte aplikaci Microsoft Dynamics 365 s kolekcí webů služby SharePoint.

   Zadejte adresu URL kolekce webu služby SharePoint (místní). V tomto příkladu se používá https://sharepoint.contoso.com/sites/crm/.

   Důležité

   K dokončení tohoto příkazu je potřeba, aby existoval a byla spuštěna proxy aplikace služby pro správu aplikací systému SharePoint. Další informace o tom, jak spustit a nakonfigurovat službu, naleznete v dílčím tématu Konfigurace nastavení odběru služby a aplikací služby správy aplikací v části Konfigurace prostředí pro aplikace pro systém SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Udělte aplikaci Microsoft Dynamics 365 přístup k webu systému SharePoint. Nahraďte adresu https://sharepoint.contoso.com/sites/crm/ adresou URL webu SharePoint.

   Poznámka

   V následujícím příkladu je aplikaci Dynamics 365 uděleno oprávnění k zadané kolekci webů služby SharePoint pomocí parametru kolekce webů –Scope. Parametr Scope přijímá následující možnosti. Vyberte rozsah, který je nejvhodnější pro vaši konfiguraci serveru SharePoint.

   • site. Udělí oprávnění aplikace Dynamics 365 pouze pro zadaný web služby SharePoint. Neudělí oprávnění pro žádné dílčí weby určeného serveru.

   • sitecollection. Udělí oprávnění aplikaci Dynamics 365 pro všechny weby a dílčí weby v rámci zadané kolekce webů služby SharePoint.

   • sitesubscription. Udělí oprávnění aplikaci Dynamics 365 pro všechny weby ve farmě služby SharePoint, včetně všech kolekcí, webů a dílčích webů.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Nastavte mapování typu ověřování na základě deklarované identity.

   Důležité

   Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu uživatele Účet Microsoft a pracovní e-mailovou adresu systému SharePoint uživatele. Když použijete tuto funkci, musí e-mailové adresy uživatele mezi oběma systémy odpovídat. Další informace naleznete v tématu Výběr typu mapování ověřování na základě deklarované identity.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Spuštění průvodce Povolit serverovou integraci SharePointu

V aplikaci Microsoft Dynamics 365 postupujte takto.

1. Přejděte na Nastavení > Správa dokumentů.

2. V oblasti Správa dokumentů zvolte položku Povolit serverovou integraci SharePointu.

3. Zkontrolujte informace a poté klikněte na tlačítko Další.

4. Pro weby systému SharePoint zvolte položku Místnía pak zvolte položku Další.

5. Zadejte adresu URL kolekce webů systému SharePoint (místní), jako je například https://sharepoint.contoso.com/sites/crm. Web musí být nakonfigurován pro protokol SSL.

6. Zvolte Další.

7. Zobrazí se část ověřování webů. Pokud jsou všechny weby určeny jako platné, zvolte položku Povolit. Pokud je jeden nebo více webů určeny jako neplatné, viz část Poradce při potížích se serverovým ověřováním.

Vyberte entity, které chcete zahrnout do správy dokumentů.

Ve výchozím nastavení jsou zahrnuty entity obchodní vztah, článek, zájemce, produkt, nabídka a prodejní dokumentace. Můžete přidat nebo odebrat entity, které budou použity pro správu dokumentů pomocí služby SharePoint, v části Nastavení správy dokumentů v aplikaci Microsoft Dynamics 365.Přejděte na Nastavení > Správa dokumentů.Další informace:Centrum pro zákazníky: Povolení správy dokumentů u entit

Výběr typu mapování ověřování na základě deklarované identity

Ve výchozím nastavení použije mapování ověřování na základě deklarované identity pro mapování e-mailovou adresu uživatele Účet Microsoft a pracovní e-mailovou adresu systému SharePoint uživatele. Všimněte si, že ať použijete jakýkoli typ ověřování na základě deklarované identity, hodnoty, například e-mailové adresy,musí odpovídat mezi aplikací Microsoft Dynamics CRM Online a službou SharePoint. Synchronizace adresářů služby Office 365 v tom může pomoci.Další informace:Nasazení sady synchronizace adresářů (DirSync) Office 365 v Microsoft Azure Chcete-li použít jiný typ mapování ověřování na základě deklarované identity, viz část MSDN: Definování vlastního mapování deklarací identity pro serverovou integraci služby SharePoint.

Důležité

Chcete-li povolit vlastnost Pracovní e-mailová adresa, musí mít služba SharePoint (místní) nakonfigurovanou a spuštěnou aplikaci Služby profilů uživatelů. Chcete-li povolit aplikaci Služby profilů uživatelů ve službě SharePoint, viz část Vytvoření, úprava nebo odstranění služeb aplikace profilu uživatele ve službě SharePoint Server 2013. Chcete-li provést změny vlastnosti uživatele, jako je například Pracovní e-mailová adresa, viz část Úprava vlastnosti profilu uživatele. Další informace o aplikace Služby profilů uživatelů naleznete v tématu Přehled aplikace služby Profil uživatele ve službě SharePoint Server 2013.

Viz také

Poradce při potížích se serverovým ověřováním
Nastavení integrace služby SharePoint s aplikací Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Všechna práva vyhrazena. Autorská práva