Serveripõhise autentimise konfigureerimine SharePointi asutusesisese lahendusega
Serveripõhist SharePoint i integreerimist dokumendihalduse jaoks saab kasutada klientide kaasamise rakenduste (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing ja Dynamics 365 Project Service Automation) ühendamiseks asutusesisese SharePointiga. Serveripõhise autentimise Microsoft Entra kasutamisel kasutatakse usaldusmaaklerina domeeniteenuseid ja kasutajad ei pea sisse logima SharePoint.
Vajalikud õigused
SharePoint’i dokumendihalduse lubamiseks on vaja järgmisi liikmesusi ja õigusi.
Microsoft 365 üldadministraatorite liikmelisus – see on nõutav järgmise jaoks.
- Administraatori tasemel juurdepääsuks Microsoft 365 kordustellimusele.
- Serveripõhise autentimise lubamise viisardi käivitamiseks.
- Käsu AzureShelli cmdlets käivitamiseks.
Power Apps SharePointi integratsiooniviisardi käivitamise õigus. See on vajalik serveripõhise autentimise lubamise viisardi käitamiseks.
Süsteemiadministraatori turberollil on see õigus vaikimisi.
SharePointi asutusesisene integratsioon, SharePointi pargi administraatorite rühma liikmelisus. See on vajalik enamiku PowerShelli käskude käivitamiseks SharePointi serveris.
Serverist serverisse autentimise häälestamine SharePointi asutusesisese lahendusega
Kliendi kaasamiste rakenduste seadistamiseks asutusesisese SharePoint 2013-ga järgige juhiseid toodud järjekorras.
Oluline
Siin kirjeldatud etapid tuleb täita ettenähtud järjekorras. Kui ülesannet ei täideta, näiteks kui PowerShelli käsk tagastab veateate, tuleb probleem lahendada enne järgmise käsu, ülesande või juhise juurde liikumist.
Eeltingimuste kontrollimine
Enne klientide kaasamise rakenduste ja asutusesisese SharePointi konfigureerimist serveripõhise autentimise jaoks tuleb täita järgmised eeltingimused.
SharePointi eeltingimused
SharePoint 2013 (asutusesisene) hoolduspaketiga 1 (SP1) või uuem versioon
Oluline
SharePoint Foundation 2013 versioone ei toetata kasutamiseks klientide kaasamise rakenduste dokumendihaldusega.
Installige 2019. a aprilli kumulatiivne värskendus (CU) SharePoint 2013 tootepere jaoks. See 2019. a aprilli CU hõlmab kõiki SharePoint 2013 parandusi (sh kõik SharePoint 2013 turvaparandusi), mis algselt avaldati koos hoolduspaketiga SP1. 2019. a aprilli CU ei sisalda hoolduspaketti SP1. Enne 2019. a aprilli CU installimist tuleb installida hoolduspakett SP1. Lisateave: KB4464514 SharePoint Server 2013 2019. a aprilli CU
Lahenduse SharePoint konfiguratsioon
Kui kasutate SharePoint 2013, saab serveripõhise integratsiooni jaoks konfigureerida iga SharePointi pargi korral ainult ühe Customer Engagementi rakenduse.
SharePointi veebisaidile peab olema võimalik Interneti kaudu juurde pääseda. SharePointi autentimiseks võib olla vajalik ka pöördpuhverserver. Lisateave: Pöördpuhverserveri konfigureerimine SharePoint Server 2013 hübriidi puhul
SharePointi veebisait peab olema konfigureeritud kasutama SSL-i (HTTPS-i) TCP pordis 443 (kohandatud porte ei toetata) ja serdi peab olema väljastanud avalik juursertimiskeskus. Lisateave: SharePoint: teave turvaliste kanali SSL-sertide kohta
Usaldusväärne kasutajaatribuut kasutamiseks taotlusepõhise autentimise vastenduste puhul SharePointi ja klientide kaasamise rakenduste vahel. Lisateave: Taotlusepõhise vastendustüübi valimine
Dokumentide ühiskasutuseks peab olema lubatud SharePointi otsinguteenus. Lisateave: Otsinguteenuse rakenduse loomine ja konfigureerimine SharePointi serveris
Dynamics 365 mobiilirakenduste kasutamisel peab asutusesisene SharePointi server Interneti kaudu dokumendihalduse funktsiooni jaoks kättesaadav olema.
Muud eeltingimused
SharePoint Online’i litsents. Serveripõhise autentimise klientide kaasamise rakenduste SharePoint asutusesisene puhul peab teenuse põhinimi (SPN) olema SharePoint ID-s Microsoft Entra registreeritud. Selle saavutamiseks on nõutav vähemalt üks SharePoint Online’i kasutajalitsents. SharePoint Online’i litsentsi saab tuletada ainukasutaja litsentsist ja tavaliselt tuleb see ühest järgmistest:
SharePoint Online’i kordustellimus. Iga SharePoint Online’i plaan on piisav ka siis, kui litsents ei ole määratud kasutajale.
Microsoft 365’i tellimus, mis sisaldab SharePoint Online’i. Näiteks, kui teil on Microsoft 365 E3, on teil sobiv litsents ka siis, kui litsents ei ole määratud kasutajale.
Vt lisateavet nende lepingute kohta jaotistest Sobiva lahenduse leidmine ja SharePointi valikute võrdlus
Selles teemas kirjeldatud PowerShelli cmdlet-käskude käivitamiseks on vajalikud järgmised tarkvarafunktsioonid.
Teenuse Microsoft Online Services sisselogimisabiline IT-töötajatele, beetaversioon
Mooduli MSOnlineExt installimiseks sisestage PowerShelli administraatori seanssi järgmine käsk.
PS> Install-Module -Name "MSOnlineExt"
Oluline
Selle dokumendi koostamise ajal on probleem RTW-versiooniga teenuse Microsoft Online Services sisselogimisabilisest IT-töötajatele. Probleemi lahendamiseni soovitame kasutada beetaversiooni. Lisateave: Microsoft Azure Foorumid: Windows PowerShelli moodulit ei saa installida Microsoft Entra . MOSSIA ei ole paigaldatud.
Klientide kaasamise rakenduste ja asutusesisese SharePointi vaheliste identiteetide vastendamiseks sobiv taotlusepõhise autentimise vastendamise tüüp. Vaikimisi kasutatakse meiliaadressi. Lisateave: Klientide kaasamise rakendustele SharePointile juurdepääsuõiguse andmine ja taotlusepõhise autentimise vastendamise konfigureerimine
Värskendage serveri SPN-i SharePoint domeeniteenustes Microsoft Entra
Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud esitatud järjekorras.
Valmistage ette PowerShelli seanss.
Järgmised cmdlet-käsud võimaldavad arvutil kaugkäske vastu võtta ja Microsoft 365 mooduleid PowerShelli seansile lisada. Lisateavet nende cmdlet-käskude kohta leiate jaotisest Windows PowerShelli peamised cmdlet-käsud.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -force
Looge ühendus Microsoft 365-ga.
Kui käivitate käsu Connect-MsolService, peate esitama kehtiva Microsofti konto, millel on üldadministraatori liikmestaatus vajaliku SharePoint Online’i litsentsi jaoks.
Üksikasjalikku teavet kõigi Microsoft Entra siin loetletud IDPowerShelli käskude kohta leiate teemast Haldamine Microsoft Entra Windows PowerShelli abil
$msolcred = get-credential connect-msolservice -credential $msolcred
Määrake SharePointi hosti nimi.
Väärtus, mille muutujale HostName määrate, peab olema SharePointi saidikogumi hosti täisnimi. Hosti nime peab tuletama saidikogumi URList ning see on tõstutundlik. Selles näiteks on saidikogumiku URL
<https://SharePoint.constoso.com/sites/salesteam>
, nii et hostinimi on SharePoint.contoso.com.$HostName = "SharePoint.contoso.com"
Hankige Microsoft 365 objekti (rentniku) ID ja SharePointi serveri teenuse subjektinimi (SPN).
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNames
Määrake SharePoint serveriteenuse põhinimi (SPN) ID-s Microsoft Entra .
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Ärge sulgege pärast nende käskude käitamist SharePoint 2013 Management Shelli ning jätkake järgmise sammuga.
SharePointi valla värskendamine, et see vastaks SharePoint Online’i omale
Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis see Windows PowerShelli käsk.
Järgmine käsk nõuab SharePointi farmi administraatori liikmestaatust ja määrab SharePointi asutusesisese farmi autentimisvalla.
Hoiatus
Selle käsu käivitamine muudab SharePointi asutusesisese farmi autentimisvalda. Rakenduste puhul, mis kasutavad olemasolevat turbelubade teenust (STS), võib see põhjustada ootamatut käitumist teiste juurdepääsutõendeid kasutavate rakendustega. Lisateave: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Looge ID jaoks Microsoft Entra usaldusväärne turvatõendi väljaandja SharePoint
Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud esitatud järjekorras.
Järgmised käsud nõuavad SharePointi farmi administraatori liikmestaatust.
Üksikasjalikku teavet nende PowerShelli käskude kohta vt: Windowsi PowerShelli cmdlets-käskude kasutamine turbe haldamiseks SharePoint 2013-s.
Lubage PowerShelli seanss, et teha muudatusi SharePointi farmi turbelubade teenuses.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Metaandmete lõpp-punkti määramine.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
Looge ID-s Microsoft Entra uus token control service’i rakenduse puhverserver.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
Märkus.
Käsk
New- SPAzureAccessControlServiceApplicationProxy
võib anda tõrketeate, mis ütleb, et sama nimega rakenduse puhverserver on juba olemas. Kui sama nimega rakenduse puhverserver on olemas, võite tõrget eirata.Looge ID-le SharePoint uus tokeni juhtimise teenuse väljastaja # Microsoft Entra asutusesisene.
$acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Klientide kaasamise rakendustele SharePointile juurdepääsuõiguse andmine ja taotlusepõhise autentimise vastendamise konfigureerimine
Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud esitatud järjekorras.
Järgmised käsud nõuavad SharePointi saidikogumi administratsiooni liikmestaatust.
Registreerige klientide kaasamise rakendused SharePointi saidikogumiga.
Sisestage asutusesisese SharePointi saidikogumi URL. Selles näites kasutatakse URL-i https://sharepoint.contoso.com/sites/crm/.
Oluline
Selle käsu rakendamiseks peab olema olemas ja töötama SharePointi rakendusehaldusteenuse rakenduspuhver. Lisateavet teenuse käivitamise ja konfigureerimise kohta leiate alateemast Tellimissätete ja rakendushaldusteenuse rakenduste konfigureerimine jaotises SharePointi rakenduste keskkonna konfigureerimine (SharePointSharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
Klientide kaasamise rakendustele SharePointi saidile juurdepääsuõiguse andmine. Asendage https://sharepoint.contoso.com/sites/crm/ oma SharePointi saidi URL-iga.
Märkus.
Järgnevas näites on klientide kaasamise rakendusele tagatud õigus juurdepääsuks konkreetsele SharePointi saidikogumikule, kasutades saidikogumiku parameetrit Ulatus. Ulatuse parameeter võimaldab teha järgmisi valikuid. See võimaldab valida SharePointi konfiguratsiooni jaoks sobivaima ulatuse.
site
. See annab klientide kaasamise rakenduste õiguse ainult konkreetse SharePointi veebisaidi jaoks. See ei anna õigust nimetatud saidi alamsaitidele.sitecollection
. See annab klientide kaasamise rakenduste õiguse kõigile veebisaitidele ja alamsaitidele konkreetses SharePointi saidikogumikus.sitesubscription
. See annab klientide kaasamise rakenduste õiguse kõigile veebisaitidele SharePointi pargis, sh kõigile saidikogumikele, veebisaitidele ja alamsaitidele.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
Taotlusepõhise autentimise vastendustüübi määramine.
Oluline
Vaikimisi kasutatakse taotlusepõhise autentimise vastenduse puhul vastendamiseks Microsofti konto meiliaadressi ja kasutaja asutusesisese SharePointi töömeili aadressi. Selle kasutamisel peavad kasutaja e-posti aadressid kahe süsteemi vahel ühtima. Lisateavet leiate jaotisest Taotlusepõhise autentimise vastendustüübi valimine.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Serveripõhise SharePointi integratsiooniviisardi lubamise käivitamine
Toimige järgmiselt.
Kontrollige, kas teil on viisardi käivitamiseks vajalikud õigused. Lisateave: Nõutavad õigused
Minge jaotisse Sätted>Dokumendihaldus.
Klõpsake alal Dokumendihaldus käsku Luba serveripõhine SharePointi integratsioon.
Vaadake teave üle ja klõpsake siis Edasi.
SharePoint-i saitide puhul klõpsake valikut Asutusesisene ja siis Edasi.
Sisestage asutusesisese SharePointi saidikogumi URL, nt https://sharepoint.contoso.com/sites/crm. Sait peab olema SSL-i jaoks konfigureeritud.
Klõpsake valikut Edasi.
Kuvatakse saitide kontrollimise jaotis. Kui kõik saidid on sobivaks kinnitatud, klõpsake Luba. Kui mõni sait on sobimatuks määratud, vt jaotist Serveripõhise autentimise tõrkeotsing.
Valige olemid, mida soovite dokumendihaldusse lisada
Vaikimisi lisatakse ettevõte, artikkel, müügivihje, toode, hinnapakkumine ja müügimaterjalid. Saate SharePoint'i abil jaotises Dokumendihalduse sätted lisada või eemaldada olemeid, mida dokumendihalduses kasutatakse. Minge jaotisse Sätted>Dokumendihaldus. Lisateave: Olemite dokumendihalduse lubamine
OneDrive'i ärirakenduse integratsioon
Pärast klientide kaasamise rakenduste ja asutusesisese SharePointi serveripõhise autentimise konfigureerimist saate integreerida ka rakenduse OneDrive for Business. Klientide kaasamise rakenduste ja OneDrive for Businessi integreerimisega saavad kasutajad kasutada privaatsete dokumentide loomiseks ja haldamiseks rakendust OneDrive for Business. Neile dokumentidele pääseb juurde, kui süsteemiadministraator on lubanud rakenduse OneDrive for Business.
Luba OneDrive for Business
Avage Windows Serveril, kus töötab asutusesisese SharePointi server, SharePoint Management Shell ja käivitage järgmised käsud.
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Taotlusepõhise autentimise vastendustüübi valimine
Vaikimisi kasutatakse taotlusepõhise autentimise vastenduse puhul vastendamiseks Microsofti konto meiliaadressi ja kasutaja asutusesisese SharePointi töömeili aadressi. Arvestage, et olenemata kasutatavast taotlusepõhise autentimise tüübist peavad sellised väärtused nagu meiliaadressid klientide kaasamise rakenduste ja SharePointi vahel ühtima. Microsoft 365 kausta sünkroonimine võib sealjuures abiks olla. Lisateave: Microsoft 365 kataloogi sünkroonimise juurutamine rakenduses Microsoft Azure. Mõnda muud tüüpi taotlusepõhise autentimise vastenduse kasutamiseks vt SharePointi serveripõhise integratsiooni jaoks kohandatud taotluse vastenduse määramine.
Oluline
Töömeili atribuudi lubamiseks peab asutusesisesel SharePointil olema konfigureeritud ja käivitatud kasutajaprofiili teenuserakendus. Kasutajaprofiili teenuserakenduse lubamise kohta SharePointis vt jaotist Kasutajaprofiili teenuserakenduste loomine, redigeerimine või kustutamine rakenduses SharePoint Server 2013. Kasutaja atribuudis (nt töömeilis) muudatuste tegemise kohta vt jaotist Kasutajaatribuudi redigeerimine. Lisateavet kasutajaprofiili teenuserakenduse kohta leiate jaotisest Ülevaade kasutajaprofiili teenuserakendusest SharePoint Server 2013-s.
Vt ka
Serveripõhise autentimise tõrkeotsing
SharePoint i integreerimine Customer Engagementi rakendustega