Serveripõhise autentimise konfigureerimine Dynamics CRM Online’i ja asutusesisese SharePointi puhul

 

Avaldatud: november 2016

Rakendub järgmisele: Dynamics CRM 2015

Värskendusega Microsoft Dynamics CRM Online 2015 värskendus 1 kasutusele võetud serveripõhist Microsoft SharePointi integreerimist dokumendihalduse jaoks saab nüüd kasutada Microsoft Dynamics CRM Online’i ühendamiseks asutusesisese SharePointiga. Serveripõhise autentimise kasutamisel kasutatakse teenust Azure Active Directory Access Control Services (ACS) usaldusvahendajana ja kasutajad ei pea SharePointi sisse logima. Lisaks pole vaja aegunud SharePointi liivakastifunktsiooni nõudvat loendi juhtelementi SharePointi dokumentide kuvamiseks Microsoft Dynamics CRM-i vaadetel.

Vajalikud õigused

Office 365

• Office 365 üldadministraatori liikmestaatus. See on vajalik administraatori tasemel juurdepääsuks Microsoft Office 365 tellimusele ja Microsoft AzurePowerShelli cmdlet-käskude käivitamiseks.

Microsoft Dynamics CRM Online

• SharePointi integratsiooniviisardi käivitamise õigus. See on vajalik serveripõhise autentimise lubamise viisardi käitamiseks Microsoft Dynamics CRM-is.

  Süsteemiadministraatori turberollil on see õigus vaikimisi.

Asutusesisene SharePoint

• Serveripargi administraatorite rühma liikmestaatus. See on vajalik enamiku PowerShelli käskude käivitamiseks SharePointi serveris.

Serverist serverisse autentimise seadistamine CRM Online’i ja asutusesisese SharePointi puhul

Järgige juhiseid antud järjekorras CRM Online’i seadistamiseks asutusesisese SharePoint 2013iga.

Oluline

Siin kirjeldatud etapid tuleb täita ettenähtud järjekorras. Kui ülesannet ei täideta, näiteks kui PowerShelli käsk annab veateate, tuleb probleem lahendada enne järgmise käsu, ülesande või juhise juurde liikumist.

Eeltingimuste kontrollimine

Enne Microsoft Dynamics CRM Online’i ja asutusesisese SharePointi konfigureerimist serveripõhise autentimise jaoks tuleb täita järgmised eeltingimused.

SharePointi eeltingimused

• Microsoft SharePoint 2013 (asutusesisee) hoolduspaketiga 1 (SP1) või uuem versioon

  Oluline

  Microsoft SharePoint Foundation 2013 versioone ei toetata kasutamiseks Microsoft Dynamics CRM-i dokumendihaldusega.

• Kiirparandus KB2883081 SharePoint Foundation 2013-le 12. augustist 2014 (Sts-x-none.msp)

  Oluline

  Järgmised värskendused on KB2883081 eeltingimuseks ja võivad olla samuti vajalikud.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• SharePointi konfiguratsioon

  • SharePoint peab olema konfigureeritud kasutamiseks ainult ühes farmis.

  • SharePointi veebisaidile peab olema võimalik Interneti kaudu juurde pääseda.SharePointi autentimiseks võib olla vajalik ka pöördpuhverserver. Lisateave: Pöördpuhverserveri konfigureerimine SharePoint Server 2013 hübriidi puhul

  • SharePointi veebisait peab olema konfigureeritud kasutama SSL-i (HTTPS-i) ja serdi peab olema väljastanud avalik juursertimiskeskus.Lisateave:SharePoint: teave turvaliste kanali SSL-sertide kohta

  • Usaldusväärne kasutajaatribuut kasutamiseks taotlusepõhise autentimise vastenduste puhul SharePointi ja Microsoft Dynamics CRM-i vahel.Lisateave:Taotlusepõhise autentimise vastendustüübi valimine

Muud eeltingimused

• SharePoint Onlineʼi litsents.Microsoft Dynamics CRM Online’ist SharePointi asutusesisene serveripõhine autentimine peab kasutama SharePointi teenuse subjektinime (SPN), mis on registreeritud Azure Active Directorys. Selle saavutamiseks on nõutav vähemalt üks SharePoint Online’i kasutajalitsents.SharePoint Online’i litsentsi saab tuletada ainukasutaja litsentsist ja tavaliselt tuleb see ühest järgmistest:

  • SharePoint Online’i tellimus. Iga SharePoint Online’i plaan on piisav, ka siis, kui litsents ei ole määratud kasutajale.

  • Office 365’i tellimus, mis sisaldab SharePoint Online’i. Näiteks, kui teil on Office 365 E3, on teil sobiv litsents ka siis, kui litsents ei ole määratud kasutajale.

  Vt lisateavet nende lepingute kohta jaotistest Office 365: lepingu valimine ja SharePointi valikute võrdlemine

• Selles teemas kirjeldatud PowerShelli cmdlet-käskude käivitamiseks on vajalikud järgmised tarkvarafunktsioonid.

  • Teenuse Microsoft Online Services sisselogimisabiline IT-töötajatele, beetaversioon

  • Azure Active Directory moodul Windows PowerShellile (64-bitisele versioonile)

  Oluline

  Selle dokumendi koostamise ajal on probleem RTW-versiooniga teenuse Microsoft Online Services sisselogimisabilisest IT-töötajatele. Probleemi lahendamiseni soovitame kasutada beetaversiooni.Lisateave:Microsoft Azure’i foorumid: ei saa installida Azure Active Directory moodulit Windows PowerShellile. MOSSIA pole installitud

• Microsoft Dynamics CRM Online’i ja asutusesisese SharePointi vaheliste identiteetide vastendamiseks sobiv taotlusepõhise autentimise vastendamise tüüp. Vaikimisi kasutatakse meiliaadressi.Lisateave:Andke Microsoft Dynamics CRM-ile õigus SharePointile juurdepääsemiseks ja konfigureerige taotlusepõhise autentimise vastendamine.

SharePoint Server SPN-i värskendamine ACS-is

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud antud järjekorras.

1. Valmistage ette PowerShelli seanss.

   Järgmised cmdlet-käsud võimaldavad arvutil kaugkäske vastu võtta ja Office 365 mooduleid PowerShelli seansile lisada. Lisateavet nende cmdlet-käskude kohta leiate jaotisest Windows PowerShelli peamised cmdlet-käsud.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Looge ühendus Office 365-ga.

   Kui käivitate käsu Connect-MsolService, peate esitama kehtiva Microsofti konto’i, millel on Office 365 üldadministraatori liikmestaatus vajaliku SharePoint Online’i litsentsi jaoks.

   Üksikasjalikku teavet iga siin nimetatud Azure Active DirectoryPowerShelli käsu kohta leiate teemast MSDN: Azure AD haldamine Windows PowerShelli abil.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Määrake SharePointi hosti nimi.

   Väärtus, mille muutujale HostName määrate, peab olema SharePointi saidikogumi hosti täisnimi. Hosti nimi peab tulenema saidikogumi URL-ist ning on tõstutundlik. Selles näites on saidikogumi URL https://SharePoint.constoso.com/sites/salesteam, seega hosti nimi on SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Hankige Office 365 objekti (rentniku) IS ja SharePoint Serveri teenuse subjektinimi (SPN).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Määrake SharePoint Serveri teenuse subjektinimi (SPN) ACS-is.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Pärast nende käskude käitamist ärge sulgege SharePoint 2013 Management Shelli ning jätkake järgmise sammuga.

SharePointi valla värskendamine, et see vastaks SharePoint Online’i omale

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis see Windows PowerShelli käsk.

Järgmine käsk nõuab SharePointi farmi administraatori liikmestaatust ja määrab SharePointi asutusesisese farmi autentimisvalla.

Ettevaatust!

Selle käsu käivitamine muudab SharePointi asutusesisese farmi autentimisvalda. Rakenduste puhul, mis kasutavad olemasolevat turbelubade teenust (STS), võib see põhjustada ootamatut käitumist teiste juurdepääsutõendeid kasutavate rakendustega. Lisateave: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

ACSile SharePointis usaldusväärse turbeloa väljastaja loomine

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud antud järjekorras.

Järgmised käsud nõuavad SharePointi farmi administraatori liikmestaatust.

Üksikasjalikku teavet nende PowerShelli käskude kohta leiate jaotisest Windows PowerShelli cmdlet-käskude kasutamine turbe haldamiseks SharePoint 2013-s.

1. Lubage PowerShelli seanss muudatuste tegemiseks SharePointi farmi turbelubade teenuses.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Metaandmete lõpp-punkti määramine.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Looge ACS-is uus õiguste kontrollimise teenuse rakenduspuhver.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Märkus

   Käsk New- SPAzureAccessControlServiceApplicationProxy võib anda tõrketeate, mis ütleb, et sama nimega ACS-i rakenduse puhverserver on juba olemas. Kui sama nimega ACS-i rakenduse puhverserver on olemas, võite tõrget eirata.

4. Looge asutusesiseses SharePointis ACS-i jaoks uus õiguste kontrollimise teenuse väljastaja.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Andke Microsoft Dynamics CRM-ile õigus SharePointile juurdepääsemiseks ja konfigureerige taotlusepõhise autentimise vastendamine.

Käivitage SharePointi asutusesiseses serveris SharePoint 2013 Management Shellis need PowerShelli käsud antud järjekorras.

Järgmised käsud nõuavad SharePointi saidikogumi administratsiooni liikmestaatust.

1. Registreerige Microsoft Dynamics CRMSharePointi saidikogumiga.

   Sisestage asutusesisese SharePointi saidikogumi URL. Selles näites kasutatakse URL-i https://sharepoint.contoso.com/sites/crm/.

   Oluline

   Selle käsu rakendamiseks peab olema olemas ja töötama SharePointi rakendusehaldusteenuse rakenduspuhver. Lisateavet teenuse käivitamise ja konfigureerimise kohta leiate alateemast Tellimissätete ja rakendushaldusteenuse rakenduste konfigureerimine jaotises SharePointi rakenduste keskkonna konfigureerimine (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Andke Microsoft Dynamics CRM-i rakendusele juurdepääs SharePointi saidile. Asendage https://sharepoint.contoso.com/sites/crm/ oma SharePointi saidi URL-iga.

   Märkus

   Järgnevas näites on CRM-i rakendusele tagatud õigus juurdepääsuks konkreetsele SharePointi saidikogumikule, kasutades saidikogumiku parameetrit Ulatus. Ulatuse parameeter võimaldab teha järgmisi valikuid. See võimaldab valida SharePointi konfiguratsiooni jaoks sobivaima ulatuse.

   • site. See tagab ainult konkreetse SharePointi veebisaidi jaoks CRM-i rakenduse õiguse. See ei anna õigust nimetatud saidi alamsaitidele.

   • sitecollection. See tagab kõigile veebisaitidele ja alamsaitidele konkreetses SharePointi saidikogumikus CRM-i rakenduse õiguse.

   • sitesubscription. See tagab kõigile veebisaitidele SharePointi pargis, sh kõigile saidikogumikele, veebisaitidele ja alamsaitidele, CRM-i rakenduse õiguse.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Taotlusepõhise autentimise vastendustüübi määramine.

   Oluline

   Vaikimisi kasutatakse taotlusepõhise autentimise vastenduse puhul vastendamiseks kasutaja Microsofti konto meiliaadressi ja kasutaja asutusesisese SharePointi töömeili aadressi. Selle kasutamisel peavad kasutaja meiliaadressid kahe süsteemi vahel ühtima. Lisateavet vt Taotlusepõhise autentimise vastendustüübi valimine.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Serveripõhise SharePointi integratsiooni lubamise viisardi käivitamine

Tehke rakenduses Microsoft Dynamics CRM järgmist.

1. Minge jaotisse Sätted > Dokumendihaldus.

2. Valige alalt Dokumendihaldus käsk Luba serveripõhine SharePointi integratsioon.

3. Vaadake teave üle ja valige siis Edasi.

4. Märkige SharePointi saitide puhul valik Asutusesisene ja valige siis Edasi.

5. Sisestage SharePointi asutusesisese saidikogumi URL, nt https://sharepoint.contoso.com/sites/crm. Sait peab olema SSL-i jaoks konfigureeritud.

6. Valige Järgmine.

7. Kuvatakse saitide kontrollimise jaotis. Kui kõik saidid on sobivaks kinnitatud, valige Luba. Kui mõni sait on sobimatuks määratud, vt jaotist Serveripõhise autentimise tõrkeotsing.

Valige olemid, mida soovite dokumendihaldusse lisada

Vaikimisi lisatakse ettevõte, artikkel, müügivihje, toode, hinnapakkumine ja müügimaterjalid. Saate SharePointi abil Microsoft Dynamics CRM-i jaotises Dokumendihalduse sätted lisada või eemaldada olemeid, mida dokumendihalduses kasutatakse.Minge jaotisse Sätted > Dokumendihaldus.Lisateave:Kliendikeskus: olemite dokumendihalduse lubamine

Taotlusepõhise autentimise vastendustüübi valimine

Vaikimisi kasutatakse taotlusepõhise autentimise vastenduse puhul vastendamiseks kasutaja Microsofti konto meiliaadressi ja kasutaja asutusesisese SharePointi töömeili aadressi. Arvestage, et olenemata kasutatavast taotlusepõhise autentimise tüübist peavad väärtused nagu meiliaadressid Microsoft Dynamics CRM Online’i ja SharePointi vahel ühtima.Office 365 kausta sünkroonimine võib sealjuures abiks olla.Lisateave:Office 365 kausta sünkroonimise (DirSync) kasutamine Microsoft Azure’is Teist tüüpi taotlusepõhise autentimise kasutamise kohta vt jaotist MSDN: kohandatud taotluste vastendamine SharePointi serveripõhise integratsiooni jaoks.

Oluline

Töömeili atribuudi lubamiseks peab asutusesisesel SharePointil olema konfigureeritud ja käivitatud kasutajaprofiili teenuserakendus. Kasutajaprofiili teenuserakenduse lubamise kohta SharePointis vt jaotist Kasutajaprofiili teenuserakenduste loomine, redigeerimine või kustutamine rakenduses SharePoint Server 2013. Kasutaja atribuudis (nt töömeilis) muudatuste tegemise kohta vt jaotist Kasutajaatribuudi redigeerimine. Lisateavet kasutajaprofiili teenuserakenduse kohta leiate jaotisest Ülevaade kasutajaprofiili teenuserakendusest SharePoint Server 2013-s.

Vt ka

Serveripõhise autentimise tõrkeotsing
SharePointi Microsoft Dynamics CRM-iga integreerimise seadistamine

© 2016, Microsoft Corporation. Kõik õigused on kaitstud. Autoriõigus