Configurar la autenticación basada en servidor con Microsoft Dynamics 365 (local) y SharePoint local
Publicado: febrero de 2017
Se aplica a: Dynamics 365 (on-premises), Dynamics CRM 2016
Este tema describe cómo configurar una integración basada en servidor entre Dynamics 365 (local) y Microsoft SharePoint local.
En este tema
Configurar integración basada en servidor con Dynamics 365 y SharePoint
Agregar integración de OneDrive para la Empresa
Solución de problemas de la integración basada en servidor de Dynamics 365 Server (local) con SharePoint Server local
Acerca de la asignación de autenticación basada en notificaciones
Trabajar con certificados digitales
Obtenga el id. de dominio de SharePoint
Configurar integración basada en servidor con Dynamics 365 y SharePoint
Siga los pasos en el orden indicado para configurar Dynamics 365 (local) con Microsoft SharePoint Server local.
Importante
-
Si una tarea no se finaliza, por ejemplo, si un comando PowerShell devuelve un mensaje de error, el problema debe resolver antes de continuar con el siguiente comando, tarea o paso.
-
Después de habilitar la integración de SharePoint basada en servidor, no podrá revertir al anterior método de autenticación basado en cliente. Por lo tanto, no puede usar el Componente de lista de Microsoft Dynamics CRM después de configurar la organización de Dynamics 365 para integración de SharePoint basada en servidor.
Verificación de los requisitos previos
Antes de configurar Dynamics 365 (local) y SharePoint local para integración basada en servidor, se necesitan los siguientes permisos y deben cumplirse los siguientes requisitos previos.
Permisos requeridos.
Microsoft Dynamics 365
Rol de seguridad de Administrador del sistema - esto es necesario para ejecutar el Habilitar el asistente de la Integración de SharePoint basada en servidor en Microsoft Dynamics 365.
Si usa un certificado autofirmado por motivos de evaluación, debe tener pertenencia al grupo de administradores locales en el equipo donde Microsoft Dynamics 365 Server se está ejecutando.
SharePoint local
- Pertenencia a grupo de administradores de granja - esto es necesario para ejecutar la mayoría de los comandos Windows PowerShell en el servidor de SharePoint.
Requisitos previos de SharePoint
Una de las siguientes versiones de SharePoint:
SharePoint 2016 Local.
Nota
Se requiere Actualización de diciembre de 2016 para Dynamics 365 (online y local) para usar SharePoint 2016 con Dynamics 365 (local).Más información:Actualización de diciembre de 2016 para Dynamics 365 (online y local)
Microsoft SharePoint 2013 local con Service Pack 1 (SP1) o una versión posterior con las siguientes actualizaciones.
Revisión KB2883081 para SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)
Las siguientes actualizaciones son requisitos previos de KB2883081 y también pueden ser necesarias.
Configuración de SharePoint
SharePoint solo se debe configurar para una implementación de granja única.
Para usar la asignación de autenticación basada en notificaciones predeterminada, el dominio de Active Directory donde se encuentran el servidor de SharePoint y el servidor de Microsoft Dynamics 365 debe ser el mismo o el dominio donde se encuentra el servidor de SharePoint debe confiar en el dominio donde se encuentra Microsoft Dynamics 365 Server. Más información: Acerca de la asignación de autenticación basada en notificaciones
El sitio web de SharePoint debe configurarse para usar TLS/SSL (HTTPS) y el certificado debe emitirlo una entidad de certificación raíz pública.Más información:SharePoint: Acerca de los certificados SSL de canal seguro
El proxy de aplicación del servicio de administración de aplicaciones debe crearse y iniciarse.Más información:Configure un entorno para las aplicaciones de SharePoint
Una aplicación de servicio del perfil de usuario debe estar configurada e iniciada.Más información:Crear, editar o eliminar aplicaciones de servicio del perfil de usuario en SharePoint Server 2013
Para el uso compartido de documentos, el servicio de búsqueda de SharePoint debe estar habilitado.Más información:Crear y configurar una aplicación de servicio de búsqueda en SharePoint Server
Para la funcionalidad de administración de documentos al usar las aplicaciones móviles de Microsoft Dynamics 365, el servidor de SharePoint local debe estar disponible a través de Internet.
Para permitir a los usuarios la capacidad de crear las bibliotecas de documentos de SharePoint desde Dynamics 365, se requieren los siguientes permisos y configuraciones:
La cuenta Dynamics 365 usuario Active Directory debe ser miembro del grupo de miembros del sitio en la colección de sitios de SharePoint donde se almacenan los documentos.
De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico principal de Dynamics 365 del usuario y la dirección de correo electrónico de trabajo de SharePoint local del usuario para asignar. Cuando se usa esta asignación, las direcciones de correo electrónico del usuario deben coincidir entre los dos sistemas. Más información: Acerca de la asignación de autenticación basada en notificaciones
Otros requisitos previos y limitaciones
El certificado digital X509 que se usará para autenticación basada en servidor entre Microsoft Dynamics 365 Server y el servidor de SharePoint. Las claves de certificado deben tener un mínimo de cifrado de 2048 bits. En la mayoría de los casos este certificado debe ser emitido por una entidad de certificación de confianza, pero con fines de evaluación puede usar un certificado autofirmado.
La identidad del grupo de aplicaciones CRMAppPool debe tener acceso de lectura al certificado x509 que se usará para la autenticación basada en servidor con Microsoft Dynamics 365 Server y el servidor de SharePoint. Puede usar el complemento Certificates MMC para conceder este acceso.
Si usa Microsoft SharePoint 2013, para cada granja de SharePoint, solo se puede configurar una sola organización Microsoft Dynamics 365 para la integración basada en servidor. Sin embargo, puede conectar más de una organización de Microsoft Dynamics 365 a una granja de servidores de SharePoint 2016.
Prepare Microsoft Dynamics 365 Server para la integración basada en servidor
CertificateReconfiguration.ps1 es un script de Windows PowerShell que instala un certificado en el almacén de certificados local, concede a la identidad especificada de servicio de procesamiento asincrónico de Microsoft Dynamics 365 acceso al certificado y actualiza Microsoft Dynamics 365 Server para que use el certificado.
Agregue el certificado de servidor a servidor al almacén local de certificados y la base de datos de configuración de Microsoft Dynamics 365
Abra una sesión de comandos de PowerShell en todos los servidores donde esté instalado el rol Servidor completo de Microsoft Dynamics 365 Server. Para otras implementaciones de rol de servidor, dónde se ejecuta el cmdlet para instalar el certificado depende de la versión de Microsoft Dynamics 365.
Para Service Pack de diciembre de 2016 para Microsoft Dynamics 365 (local) y versiones posteriores, ejecute este comando en todos los servidores donde se esté ejecutando el rol Servidor de aplicaciones web.
Para las versiones Microsoft Dynamics CRM 2016 Service Pack 1 y anteriores, ejecute este comando en todos los servidores donde se esté ejecutando el rol Servicio asincrónico.
Cambie la ubicación a la carpeta <unidad>:\Program Files\Microsoft Dynamics CRM\Tools.
Ejecute el script CertificateReconfiguration.ps1 Windows PowerShell tal como se explica aquí:
certificateFilepath\Personalcertfile.pfx . Parámetro requerido que especifica la ruta de acceso completa al archivo de intercambio de información personal (.pfx). Más información: Trabajar con certificados digitales
passwordpersonal_certfile_password. Parámetro requerido que especifica la contraseña del certificado privado.
certificateType S2STokenIssuer. Parámetro requerido que especifica el tipo de certificado. Para integración basada en servidor de Microsoft Dynamics 365 y SharePoint, solo se admite S2STokenIssuer.
serviceAccount ‘DomainName\UserName’ o ‘Network Service’.
Para Service Pack de diciembre de 2016 para Microsoft Dynamics 365 (local) y versiones posteriores:
serviceAccount 'contoso\CRMWebAppServer' o ‘Network Service’. Parámetro requerido que especifica la identidad del rol Servidor de aplicaciones web. La identidad es una cuenta de usuario de dominio, como contoso\CRMWebAppServer, o Network Service. Se concederá permiso al certificado a la identidad.
Para las versiones Microsoft Dynamics CRM 2016 Service Pack 1 y anteriores:
serviceAccount 'contoso\CRMAsyncService' o ‘Network Service’. Parámetro requerido que especifica la identidad del Servicio asincrónico. La identidad es una cuenta de usuario de dominio, como contoso\CRMAsyncService, o Network Service. Se concederá permiso al certificado a la identidad.
updateCrm. Agrega la información del certificado a la base de datos de configuración de Microsoft Dynamics 365.
Importante
Incluso si tiene implementados varios roles Servidor de aplicaciones web o Servicio asincrónico, solo debe ejecutar el comando con el parámetro updateCrm de una vez.
storeFindType FindBySubjectDistinguishedName. Especifica el tipo de almacén de certificados. De manera predeterminada, este valor es FindBySubjectDistinguishedName y se recomienda al ejecutar el script.
Importante
Aunque los parámetros updateCrm y StoreFindType son opcionales para ejecutar el comando, se requieren para la integración de SharePoint basada en servidor de modo que la información del certificado se agregue a la base de datos de certificación.
Ejemplo
.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
Preparar la granja de SharePoint para la integración basada en servidor
Obtener el id. de dominio de Dynamics 365
Inicie la Habilitar el asistente de la Integración de SharePoint basada en servidor.Vaya a Configuración > Administración de documentos. (¿Cómo llegar ahí?)
Haga clic en Siguiente, haga clic en local y, a continuación, en Siguiente.
El id se muestra junto a Identificador de dominio de Dynamics 365 en la página.
Sugerencia
Guarde el identificador de dominio de Dynamics 365 en un archivo de texto en un recurso compartido de red seguro o un almacenamiento en la nube. A continuación, puede fácilmente recuperarlo de la ubicación en la que ejecute el Habilitar el asistente de la Integración de SharePoint basada en servidor.
En el servidor local de SharePoint, en el Shell de administración de SharePoint, ejecute estos comandos de PowerShell en el orden indicado.
Preparar el servidor de SharePoint para la autenticación de Dynamics 365 Server
Si está usando un shell de administración de PowerShell que no es el shell de administración de SharePoint, debe registrar el módulo SharePoint con el siguiente comando.
Add-PSSnapin Microsoft.SharePoint.PowerShell
Habilite la sesión de PowerShell para realizar cambios en el servicio de token de seguridad para la granja de SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Cree el objeto de servicio de token de seguridad de confianza, donde Nombredeorganización es el nombre único de la organización de Microsoft Dynamics 365 y CrmServer es el nombre del servidor web de IIS donde el rol Servidor de aplicaciones web de Microsoft Dynamics 365 está instalado y -Name “crm” se usa para nombra el servidor de tokens de seguridad (STS).
Importante
-
No se admite la conexión de más de una organización de Microsoft Dynamics 365 a una granja de servidores de Microsoft SharePoint 2013 única. Sin embargo, puede conectar más de una organización de Microsoft Dynamics 365 a una granja de servidores de SharePoint 2016.
-
Al ejecutar el comando New-SPTrustedSecurityTokenIssuer PowerShell debe especificar HTTPS para el extremo de metadatos de Microsoft Dynamics 365 cuando el sitio web de la aplicación de Microsoft Dynamics 365 tiene sólo enlaces HTTPS o HTTPS y HTTP, como en el siguiente ejemplo.
New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
-
Registre Microsoft Dynamics 365 con la colección de sitios de SharePoint.
Para trabajar con los comandos siguientes, debe especificar dos parámetros:
La dirección URL de la colección de sitios de SharePoint local. En este ejemplo, https://sharepoint.contoso.com/sites/crm/ se usa para la dirección URL de la colección de sitios.
CrmRealmId es el identificador de la organización de Microsoft Dynamics 365 que desea usar para administración de documentos con SharePoint.Más información:Obtener el id. de dominio de Dynamics 365
Importante
Para completar estos comandos, debe existir y ejecutarse el proxy de aplicación del servicio de administración de aplicaciones de SharePoint. Para obtener más información acerca de cómo iniciar y configurar el servicio, vea el subtema Configuración de los valores de suscripciones y aplicaciones de servicio de administración de aplicaciones en el tema Configurar un entorno para aplicaciones de SharePoint (SharePoint 2013).
$CrmRealmId = "CRMRealmId" $Identifier = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
Conceda a la aplicación de Microsoft Dynamics 365 acceso al sitio de SharePoint.
Nota
En el siguiente ejemplo, se concede permiso a la aplicación de Microsoft Dynamics 365 a la colección de sitios de SharePoint especificada mediante el parámetro –Scope sitecollection. El parámetro Scope acepta las siguientes opciones. Use el ámbito que sea más adecuado para la configuración de SharePoint:
-
site. Concede permiso a la aplicación de Dynamics 365 al sitio web especificado de SharePoint solo. No concede permiso a ningún subsitio bajo el sitio con nombre.
-
sitecollection. Concede permiso a la aplicación de Dynamics 365 a todos los sitios web y subsitios dentro de la colección de sitios de SharePoint especificada.
-
sitesubscription. Concede permiso a la aplicación de Dynamics 365 a todos los sitios web de la granja de SharePoint, incluidas todas las colecciones de sitios, sitios web y subsitios.
$app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy #"Set up claims-based authentication mapping" New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
-
Ejecute el Habilitar el asistente de la Integración de SharePoint basada en servidor
En la aplicación de Microsoft Dynamics 365, vaya a Configuración > Administración de documentos.
En el área Administración de documentos, haga clic en Habilitar la integración de SharePoint basada en servidor.
Revise la información y, a continuación, haga clic en Siguiente.
Para sitios de SharePoint, haga clic en Local y luego en Siguiente.
En la fase Preparar sitios, especifique la siguiente información:
Dirección URL de la colección de sitios de SharePoint local, como https://sharepoint.contoso.com/sites/crm. El sitio se debe configurar para TLS/SSL.
Id. de dominio de SharePoint.Obtenga el id. de dominio de SharePoint
Haga clic en Siguiente.
Aparecerá la sección de validación de sitios. Si todos los sitios son válidos, haga clic en Habilitar. Si uno o más sitios no son válidos, vea Solución de problemas de la integración basada en servidor de Dynamics 365 Server (local) con SharePoint Server local.
Seleccione las entidades que desea incluir en administración de documentos
De forma predeterminada, se incluyen las entidades Cuenta, Artículo, Cliente potencial, Producto, Oferta y Documentación de ventas. Puede agregar o quitar las entidades que se usarán para la administración de documentos con SharePoint en Configuración de administración de documentos en Microsoft Dynamics 365.Vaya a Configuración > Administración de documentos. (¿Cómo llegar ahí?)Más información:Centro de clientes: Habilitar la administración de documentos en entidades
Agregar integración de OneDrive para la Empresa
Tras completar la configuración de integración basada en servidor de Microsoft Dynamics 365 y SharePoint local, también puede integrar OneDrive para la Empresa. Con la integración de Microsoft Dynamics 365 y OneDrive para la Empresa, los usuarios de Microsoft Dynamics 365 pueden crear y administrar documentos privados con OneDrive para la Empresa. Se puede acceder a estos documentos desde Dynamics 365 una vez que el administrador del sistema ha habilitado OneDrive para la Empresa.
Habilitar OneDrive para la Empresa
En el Windows Server donde se ejecuta SharePoint Server local, abra el shell de administración de SharePoint y ejecute los siguientes comandos.
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Solución de problemas de la integración basada en servidor de Dynamics 365 Server (local) con SharePoint Server local
Para obtener información sobre cómo solucionar problemas del Habilitar el asistente de la Integración de SharePoint basada en servidor y ver registros de supervisión de SharePoint, vea Solución de problemas de autenticación basada en servidor.
Problemas conocidos
Para administración de documentos con la solución de problemas de SharePoint y problemas conocidos, consulte Solución de problemas de autenticación basada en servidor.
Acerca de la asignación de autenticación basada en notificaciones
De forma predeterminada, la autenticación basada en servidor entre Dynamics 365 (local) y SharePoint local usa el identificador de seguridad del usuario (SID) para autenticar a cada usuario. Si Microsoft Dynamics 365 Server y SharePoint se encuentran en dominios distintos de Active Directory que no disponen una confianza, debe usar una asignación personalizada de autenticación basada en notificaciones, como la dirección de correo electrónico del usuario.Más información:Definir asignación de notificaciones personalizada para integración basada en SharePoint
Trabajar con certificados digitales
El siguiente procedimiento crea un archivo de intercambio de información personal (.pfx).
En un equipo que tenga acceso al certificado que desea usar para la autenticación de servidor a servidor, haga clic en Inicio, haga clic en Ejecutar, escriba MMC y presione Entrar.
Haga clic en Archivo y luego haga clic en Agregar o quitar complemento.
En la lista de complementos disponibles haga clic en Certificados, haga clic en Agregar, haga clic en Cuenta del equipo, haga clic en Siguiente, haga clic en Finalizar para seleccionar el equipo local y, a continuación haga clic en Aceptar.
Expanda Certificados, expanda Personal y luego haga clic en Certificados.
Haga clic con el botón secundario en el certificado que desea usar para crear un archivo de certificado personal, elija Todas las tareas y luego haga clic en Exportar.
Haga clic en Siguiente, haga clic en Sí para exportar la clave privada, asegúrese de que las siguientes opciones están activadas y después haga clic en Siguiente.
Incluya todos los certificados en la ruta de certificación si es posible
Exportar todas las propiedades extendidas
Haga clic en Examinar y escriba una ubicación y un nombre de archivo para el archivo .pfx y, a continuación haga clic en Guardar.
Haga clic en Siguiente y, a continuación, en Finalizar.
Obtenga el id. de dominio de SharePoint
Ejecute el siguiente comando de PowerShell en el Shell de administración de SharePoint, donde https://sharepoint.contoso.com/sites/crm/ es la dirección URL de la colección de sitios de SharePoint.
Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/
Como alternativa, puede encontrar el Id. de dominio de SharePoint en la configuración de permisos de la aplicación del sitio de la colección de sitios de SharePoint.
Inicie sesión en la colección de sitios de SharePoint que usará para la administración de documentos con Microsoft Dynamics 365.
Vaya a Configuración del sitio > Permisos de aplicación del sitio.
El Id. de dominio se muestra Identificador de la aplicación, en la parte derecha del signo @. Cópielo al portapapeles. En el Habilitar el asistente de la Integración de SharePoint basada en servidor, pegue solo el GUID. No pegue en cualquier parte de identificador a la izquierda de @.
© 2017 Microsoft. Todos los derechos reservados. Copyright