Konfigurieren der serverbasierten Authentifizierung mit Dynamics 365 Online und SharePoint lokal

 

Veröffentlicht: Februar 2017

Gilt für: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online

Die mit Microsoft Dynamics CRM Online 2015-Update 1 eingeführte serverbasierte Microsoft SharePoint-Integration für Dokumentenverwaltung kann zur Verbindung von Microsoft Dynamics 365 (online) mit SharePoint (lokal) verwendet werden. Wenn Sie serverbasierte Authentifizierung verwenden, werden Azure AD-Domänendienste als Vertrauensstellungsbroker verwendet und Benutzer müssen sich nicht bei SharePoint anmelden.

In diesem Thema

Berechtigungen sind erforderlich.

Einrichten der Server-zu-Server-Authentifizierung mit Dynamics 365 (online) und SharePoint lokal

OneDrive for Business-Integration hinzufügen

Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung

Berechtigungen sind erforderlich.

Office 365

• Office 365 Global Administrators-Mitgliedschaft - Dies ist erforderlich für den Zugriff auf das Microsoft Office 365-Abonnement auf Administratorebene und für die Ausführung der Microsoft AzurePowerShell-Cmdlets.

Microsoft Dynamics 365 (online)

• Recht zum Ausführen des Assistenten für SharePoint-Integration. Dies ist erforderlich, um den Assistenten zum Aktivieren der serverbasierten Authentifizierung in Microsoft Dynamics 365 auszuführen.

  Die Systemadministrator-Sicherheitsrolle besitzt standardmäßig diese Berechtigung.

SharePoint (lokal)

• Farm Administrator-Gruppenmitgliedschaft - Dies ist erforderlich, um die meisten PowerShell-Befehle auf dem SharePoint Server auszuführen.

Einrichten der Server-zu-Server-Authentifizierung mit Dynamics 365 (online) und SharePoint lokal

Führen Sie die Schritte in der vorgesehenen Reihenfolge aus, um Dynamics 365 (online) mit SharePoint 2013 (lokal) zu installieren.

Wichtig

• Die hier beschriebenen Schritte müssen in der vorgesehenen Reihenfolge ausgeführt werden. Wenn eine Aufgabe nicht abgeschlossen wird, z. B. ein PowerShell-Befehl, der eine Fehlermeldung zurückgibt, muss das Problem behoben werden, bevor Sie zum folgenden Befehl, Aufgabe oder Schritt übergehen.

• Nachdem Sie serverbasierte SharePoint-Integration aktiviert haben, können Sie die vorherige clientbasierten Authentifizierungsmethode nicht wiederherstellen. Hierzu kann Microsoft Dynamics CRM-Listenkomponente nicht verwendet werden, nachdem Sie Ihre Dynamics 365-Organisation für serverbasierte SharePoint-Integration konfiguriert haben.

Überprüfen der Voraussetzungen

Bevor Sie Microsoft Dynamics 365 (online) und SharePoint (lokal) für serverbasierte Authentifizierung konfigurieren, müssen die folgenden Voraussetzungen erfüllt werden:

SharePoint-Voraussetzungen

• Microsoft SharePoint 2013 (lokal) mit Service Pack 1 (SP1) oder höher

  Wichtig

  Microsoft SharePoint Foundation 2013-Versionen werden nicht für die Microsoft Dynamics 365-Dokumentenverwaltung unterstützt.

• Hotfix KB2883081 für SharePoint Foundation 2013, 12. August 2014 (Sts-x-none.msp)

  Wichtig

  Die folgenden Updates sind Voraussetzung für KB2883081 und ggf. ebenfalls erforderlich.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• SharePoint-Konfiguration

  • SharePoint muss nur für eine Farmbereitstellung konfiguriert werden.

  • Die SharePoint-Website muss über das Internet verfügbar sein. Ein Reverseproxy kann auch für SharePoint-Authentifizierung erforderlich sein. Weitere Informationen: Konfigurieren eines Reverseproxy-Geräts für SharePoint Server 2013 (hybrid)

  • Die SharePoint-Website muss für SSL (HTTPS) konfiguriert werden, und das Zertifikat muss von einer öffentlichen Stammzertifizierungsstelle ausgegeben werden.Weitere Informationen:SharePoint: Informationen zu Sicheren Kanal-(SSL)-Zertifikaten

  • Eine verlässliche Benutzereigenschaft für die Zuordnung der anspruchsbasierten Authentifizierung zwischen SharePoint und Microsoft Dynamics 365.Weitere Informationen:Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung

  • Für Dokumentenfreigabe muss der SharePoint-Suchdienst aktiviert werden.Weitere Informationen:Erstellen und Konfigurieren einer Suchdienstanwendung in SharePoint Server

  • Für Dokumentenverwaltungsfunktonen, wenn mobile Microsoft Dynamics 365-Apps verwendet werden, muss der lokale SharePoint-Server über das Internet verfügbar sein.

  • Wenn Sie Microsoft SharePoint 2013 für jede SharePoint-Farm verwenden, kann nur eine Microsoft Dynamics 365-Organisation für die serverbasierte Integration konfiguriert werden.

Andere Voraussetzungen

• SharePoint Online-Lizenz.Microsoft Dynamics 365 (online) zu SharePoint lokaler, serverbasierter Authentifizierung muss der SharePoint-Dienstprinzipalnamen (SPN) in Azure Active Directory registriert sein. Um dies sicherzustellen, ist mindestens eine SharePoint Online-Benutzerlizenz erforderlich. Die SharePoint Online-Lizenz kann von einer Einzelbenutzerlizenz stammen und beruht in der Regel auf einem der folgenden Elemente:

  • Ein SharePoint Online-Abonnement. Jeder SharePoint Online-Plan ist genügend ist, auch wenn die Lizenz keinem Benutzer zugewiesen ist.

  • Ein Office 365-Abonnement, das SharePoint Online enthält. Wenn Sie z. B. Office 365 E3 besitzen, verfügen Sie über die entsprechende Lizenzierung, auch wenn die Lizenz keinem Benutzer zugewiesen ist.

  Weitere Informationen zu diesen Plänen finden Sie unter Office 365: Auswählen eines Plans und Vergleich der SharePoint-Optionen

• Die folgenden Softwarefunktionen sind erforderlich, um die PowerShell-Cmdlets ausführen, die in diesem Thema beschrieben werden.

  • Microsoft Online Services-Anmeldungs-Assistent für IT-Experten Beta

  • Azure Active Directory-Modul für Windows PowerShell (64-Bit-Version)

  Wichtig

  Zum Zeitpunkt des Erstellens dieser Dokumentation bestand ein Problem mit der RTW-Version des Microsoft Online Services-Anmeldungs-Assistenten für IT-Experten. Bis das Problem behoben ist, ist es empfehlenswert, die Betaversion zu verwenden.Weitere Informationen:Microsoft Azure-Foren: Azure Active Directory-Modul für Windows PowerShell kann nicht installiert werden. MOSSIA ist nicht installiert.

• Ein geeigneter Zuordnungstyp für die anspruchsbasierte Authentifizierung für die Zuordnung von Identitäten zwischen Microsoft Dynamics 365 (online) und SharePoint (lokal). Standardmäßig wird die E-Mail-Adresse verwendet.Weitere Informationen:Gewähren Sie Microsoft Dynamics 365-Berechtigung für den Zugriff auf SharePoint und konfigurieren Sie die Zuordnung der anspruchsbasierten Authentifizierung

Update des SharePoint-Server-SPN in Azure Active Directory-Domänendiensten

Auf dem lokalen SharePoint Server, in der SharePoint 2013-Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

1. Bereiten Sie die PowerShell-Sitzung vor.

   Die folgenden Cmdlets ermöglichen dem Computer, Remote-Befehle zu empfangen und Office 365-Module zur PowerShell-Sitzung hinzuzufügen. Weitere Informationen zu diesen Cmdlets finden Sie unter Windows PowerShell-Kern-Cmdlets.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Stellen Sie mit Office 365 eine Verbindung her.

   Wenn Sie den Connect-MsolService-Befehl ausführen, müssen Sie eine gültige Microsoft-Konto angeben, die die Office 365-Mitgliedschaft der globalen Administratoren für die erforderliche SharePoint Online-Lizenz umfasst.

   Ausführliche Informationen zu jedem der hier aufgeführten Azure Active DirectoryPowerShell-Befehle finden Sie unter MSDN: Verwalten von Azure AD mithilfe von Windows PowerShell.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Legen Sie den SharePoint-Hostnamen fest.

   Der Wert, den Sie für den variablen Hostnamen festlegen, muss ein vollständiger Hostname der SharePoint-Websitesammlung sein. Der Hostname muss von der Websitesammlungs-URL abgeleitet sein und die Groß-/Kleinschreibung muss beachtet werden. In diesem Beispiel ist die Websitesammlungs-URL https://SharePoint.constoso.com/sites/salesteam, deshalb ist der Hostname SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Rufen Sie die Office 365-Objekt (Mandant)-ID ab und den SharePoint Server-Dienstprinzipalnamen (SPN).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Legen Sie den SharePoint Server Dienstprinzipalnamen (Service Principal Name, SPN) in Azure Active Directory fest.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Wenn diese Befehle ausgeführt wurden, sollten Sie nicht die SharePoint 2013-Verwaltungsshell schließen und mit dem nächsten Schritt fortsetzen.

Aktualisieren des SharePoint-Bereichs zur Übereinstimmung mit SharePoint Online

Auf dem lokalen SharePoint Server, in der SharePoint 2013-Verwaltungsshell, führen Sie diesen Windows PowerShell-Befehl aus.

Der folgende Befehl erfordert SharePoint-Farmadministratormitgliedschaft und legt den Authentifizierungsbereich der lokalen SharePoint-Farm fest.

Warnung

Das Ausführen dieses Befehls ändert den Authentifizierungsbereich der lokalen SharePoint-Farm. Bei Anwendungen, die einen vorhandenen Sicherheitstokendienst (STS) verwenden, kann dies unerwartetes Verhalten bei anderen Anwendungen, die Zugriffstoken verwenden, auslösen. Weitere Informationen: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Erstellen Sie einen vertrauenswürdigen Sicherheitstokenaussteller für Azure Active Directory in SharePoint

Auf dem lokalen SharePoint Server, in der SharePoint 2013-Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

Die folgenden Befehle erfordern SharePoint-Farmadministratormitgliedschaft.

Detaillierte Informationen zu diesen PowerShell-Befehlen finden Sie unter Verwalten der Sicherheit in SharePoint 2013 mit Windows PowerShell-Cmdlets.

1. Aktivieren Sie die PowerShell-Sitzung, um Änderungen am Sicherheitstokendienst für die SharePoint-Farm vorzunehmen.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Legen Sie den Metadatenendpunkt fest.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer  = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Erstellen Sie den neuen Tokenkontrolldienst-Anwendungsproxy in Azure Active Directory.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Hinweis

   Der New- SPAzureAccessControlServiceApplicationProxy-Befehl gibt möglicherweise eine Fehlermeldung zurück, die aussagt das ein Anwendungsproxy mit demselben Namen bereits vorhanden ist. Wenn der benannte Anwendungsproxy bereits vorhanden ist, können Sie den Fehler ignorieren.

4. Erstellen Sie den neuen Tokensteuerelementdienst-Aussteller in SharePoint (lokal) für Azure Active Directory.

   $ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Gewähren Sie Microsoft Dynamics 365-Berechtigung für den Zugriff auf SharePoint und konfigurieren Sie die Zuordnung der anspruchsbasierten Authentifizierung

Auf dem lokalen SharePoint Server, in der SharePoint 2013-Verwaltungsshell, führen Sie diese PowerShell-Befehle in der genannten Reihenfolge aus.

Die folgenden Befehle erfordern SharePoint-Websitesammlung-Administrationsmitgliedschaft.

1. Registrieren Sie Microsoft Dynamics 365 bei der SharePoint-Websitesammlung.

   Geben Sie die lokale SharePoint-Websitesammlungs-URL ein. In diesem Beispiel wird https://sharepoint.contoso.com/sites/crm/ verwendet.

   Wichtig

   Um diesen Befehl auszuführen, muss der SharePoint-App-Verwaltungsservice-Anwendungsproxy vorhanden sein und ausgeführt werden. Weitere Informationen zum Starten und Konfigurieren des Dienstes finden Sie im Dienstanwendungen-Unterthema "Konfigurieren der Abonnementeinstellungen und App-Verwaltung" in Konfigurieren einer Umgebung für Apps für SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Bewilligen Sie der Microsoft Dynamics 365-Anwendung Zugriff auf die SharePoint-Website. Ersetzen Sie https://sharepoint.contoso.com/sites/crm/ durch Ihre SharePoint-Website-URL.

   Hinweis

   Im Beispiel unten wird der Dynamics 365-Anwendung die Berechtigung für die angegebene SharePoint-Websitesammlung erteilt, indem der –Scope sitecollection verwendet wird. Der Scope-parameter akzeptiert die folgenden Optionen. Wählen Sie den Umfang aus, der für die SharePoint-Konfiguration am besten geeignet ist.

   • site. Bewilligt der angegebenen Dynamics 365-Anwendung die Berechtigung nur für die angegebene SharePoint-Website. Gewährt für Unterwebsites unter der benannten Website keine Berechtigungen.

   • sitecollection. Bewilligt der Dynamics 365-Anwendung Berechtigung für alle Websites und Unterwebsites in der angegebenen SharePoint-Websitesammlung.

   • sitesubscription. Bewilligt der Dynamics 365-Anwendung Berechtigung für alle Websites in der SharePoint-Farm (inkl. aller Websitesammlungen, Websites, und Unterwebsites).

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Legen Sie den Zuordnungstypen für die anspruchsbasierte Authentifizierung fest.

   Wichtig

   Standardmäßig wird die Zuordnung der anspruchsbasierten Authentifizierung die Microsoft-Konto-E-Mail-Adresse des Benutzers und die SharePoint (lokal)-Geschäftliche E-Mail-Adresse für die Zuordnung verwenden. Hierzu müssen die E-Mail-Adressen des Benutzers zwischen den beiden Systemen übereinstimmen. Weitere Informationen finden Sie unter Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Ausführen des Assistenten zum Aktivieren der serverbasierten SharePoint-Integration

In der Microsoft Dynamics 365-App führen Sie die folgenden Schritte aus:

1. Gehen Sie zu Einstellungen > Dokumentenverwaltung. (Wie komme ich dorthin?)

2. Klicken Sie im Bereich Dokumentenverwaltung auf die Option Aktivieren der serverbasierten SharePoint-Integration.

3. Prüfen Sie die Informationen, und klicken Sie dann auf Weiter.

4. Klicken Sie für die SharePoint-Websites auf Lokal und dann auf Weiter.

5. Geben Sie die lokale SharePoint-Websitesammlungs-URL ein, z. B. https://sharepoint.contoso.com/sites/crm ein. Die Website muss für SSL konfiguriert sein.

6. Klicken Sie auf Weiter.

7. Der Websites überprüfen-Abschnitt wird angezeigt. Wenn alle Websites als gültig deklariert werden, klicken Sie auf Aktivieren. Wenn mindestens eine Website als ungültig deklariert wird, siehe Problembehandlung bei serverbasierter Authentifizierung.

Auswählen der Entitäten, die in die Dokumentenverwaltung integriert werden sollen

Standardmäßig sind Firmen-, Artikel- Lead-, Produkt-, Angebots-, und Vertriebsdokumentationsentitäten enthalten. Sie können die Entitäten hinzufügen oder entfernen, die für die Dokumentenverwaltung mit SharePoint in Dokumentenverwaltungseinstellungen in Microsoft Dynamics 365 verwendet werden.Gehen Sie zu Einstellungen > Dokumentenverwaltung. (Wie komme ich dorthin?)Weitere Informationen:Kundencenter: Aktivieren der Dokumentenverwaltung für Entitäten

OneDrive for Business-Integration hinzufügen

Nachdem Sie die serverbasierte Authentifizierungskonfiguration für Microsoft Dynamics 365 und SharePoint (lokal) abgeschlossen haben, könen Sie auch OneDrive for Business integrieren. Mit der Integration von Microsoft Dynamics 365 und OneDrive for Business, können Dynamics 365-Benutzer private Dokumente unter Verwendung von OneDrive for Business erstellen und verwalten. Auf diese Dokumente kann in Dynamics 365 zugegriffen werden, sobald der Systemadministrator sie in OneDrive for Business aktiviert hat.

OneDrive for Business aktivieren

Öffnen Sie im Windows Server, auf dem SharePoint Server lokal ausgeführt wird, die SharePoint-Verwaltungs-Shell, und führen Sie die folgenden Befehle aus:

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Auswählen eines Zuordnungstyps für die anspruchsbasierte Authentifizierung

Standardmäßig wird die Zuordnung der anspruchsbasierten Authentifizierung die Microsoft-Konto-E-Mail-Adresse des Benutzers und die SharePoint (lokal)-geschäftliche E-Mail-Adresse für die Zuordnung verwenden. Beachten Sie, dass, egal welchen Typ Sie für die anspruchsbasierte Authentifizierung verwenden, die Werte, wie E-Mail-Adressen, übereinstimmen müssen zwischen Microsoft Dynamics 365 (online) und SharePoint.Office 365-Verzeichnissynchronisierung kann dabei behilflich sein.Weitere Informationen:Bereitstellen der Office 365-Verzeichnissynchronisierung (DirSync) in Microsoft Azure Zur Verwendung eines anderen Typs von anspruchsbasierter Authentifizierungszuordnung siehe Definieren der benutzerdefinierten Anspruchszuordnung für auf SharePoint Server basierte Integration.

Wichtig

Um die Eigenschaft für die geschäftliche E-Mail-Adresse zu aktivieren, muss bei SharePoint (lokal) eine Benutzerprofil-Dienstanwendung konfiguriert und gestartet worden sein. Um eine Benutzerprofil-Dienstanwendung in SharePoint zu aktivieren, siehe Erstellen, Bearbeiten oder Löschen von Benutzerprofil-Dienstanwendungen in SharePoint Server 2013. Für Änderungen an einer Benutzereigenschaft, z. B. geschäftliche E-Mail-Adresse, siehe Bearbeiten einer Benutzerprofileigenschaft. Weitere Informationen zur Benutzerprofil-Dienstanwendung finden Sie unter Übersicht über die Benutzerprofildienstanwendung in SharePoint Server 2013.

Siehe auch

Problembehandlung bei serverbasierter Authentifizierung
SharePoint-Integration mit Microsoft Dynamics 365 einrichten

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright