Configurer l’authentification basée sur un serveur avec Customer Engagement (on-premises) et SharePoint en local

Article
03/29/2023

Note

Si vous avez activé le Mode Unified Interface uniquement, avant d’utiliser les procédures décrites dans cet article, procédez comme suit :

Sélectionnez Paramètres () sur la barre de navigation.
Sélectionnez Paramètres avancés.

Cette rubrique décrit comment configurer l’intégration basée sur serveur entre Dynamics 365 Customer Engagement (on-premises) et Microsoft SharePoint en local.

Configurer l’intégration basée sur serveur avec Customer Engagement (on-premises) et SharePoint

Suivez les étapes dans l’ordre indiqué pour configurer Customer Engagement (on-premises) avec Microsoft SharePoint Server en local.

Important

Les commandes PowerShell doivent être exécutées en mode Administrateur. Voir : Comment lancer PowerShell ?
Si une tâche n’est pas terminée, par exemple une commande PowerShell renvoie un message d’erreur, le problème doit être résolu avant de passer à la commande, à la tâche ou à l’étape suivante.
Après avoir activé l’intégration SharePoint basée sur serveur, vous ne pourrez pas restaurer la méthode d’authentification client précédente. Par conséquent, vous ne pouvez pas utiliser le composant Liste de Microsoft Dynamics CRM après avoir configuré votre organisation Customer Engagement (on-premises) pour l’intégration SharePoint basée sur serveur.

Vérification des conditions préalables requises

Avant de configurer Customer Engagement (on-premises) et SharePoint en local pour l’intégration basée sur serveur, les autorisations et la configuration préalable ci-après sont requises.

Autorisations requises

Customer Engagement (on-premises)

Rôle de sécurité Administrateur système - celui-ci est nécessaire pour exécuter l’Assistant Activer l’intégration SharePoint basée sur serveur dans Customer Engagement (on-premises).
Si vous utilisez un certificat auto-signé à des fins d’évaluation, vous devez avoir un membre du groupe Administrateurs locaux sur l’ordinateur qui exécute Dynamics 365 Server.

SharePoint local

Appartenance au groupe Administrateurs de batterie - celle-ci est requise pour exécuter la plupart des commandes Windows PowerShell sur le serveur SharePoint.

Conditions préalables SharePoint

L’une des versions SharePoint suivantes :
- Édition de l’abonnement au service Sharepoint.
- SharePoint 2019 local.
  
  Intégration basée sur serveur entre Dynamics 365 Customer Engagement (on-premises) et Microsoft SharePoint 2019 local nécessite Microsoft Dynamics 365 Server, v9.0 (local), Update 0.13 ou version ultérieure.
- SharePoint 2016 local.
- Microsoft SharePoint 2013 local avec le Service Pack 1 (SP1) ou une version ultérieure avec les mises à jour suivantes.
  - Installez la mise à jour cumulative (CU) d’avril 2019 pour la Famille de produits SharePoint 2013. Cette CU d’avril 2019 comprend tous les Correctifs SharePoint 2013 (y compris tous les correctifs de sécurité de SharePoint 2013) publiés depuis le SP1. La CU d’avril 2019 n’inclut pas SP1. Vous devez installer SP1 avant d’installer la CU d’avril 2019.
    - KB4464512 – SharePoint Foundation 2013 avril 2019 CU
    - KB4464514 – SharePoint Server 2013 avril 2019 CU
    - KB4464513 – Project Server 2013 avril 2019 CU
Configuration de SharePoint
- SharePoint doit être configuré pour un seul déploiement en batterie uniquement.
- Pour utiliser le mappage de l’authentification basée sur les revendications par défaut, le domaine Active Directory où le serveur SharePoint et Dynamics 365 Server sont situés, doit être le même. Ou bien, le domaine où le serveur SharePoint est situé doit approuver le domaine où Dynamics 365 Server est situé. Informations supplémentaires : À propos du mappage de l’authentification basée sur les revendications
- Le site Web de SharePoint doit être configuré pour utiliser TLS/SSL (HTTPS) et le certificat doit être émis par une autorité de certification racine publique. Informations complémentaires : SharePoint : À propos des certificats SSL de canal sécurisé
- Le proxy d’applications de service de gestion des applications doit être créé et démarré. Informations complémentaires : Configurer un environnement pour les applications pour SharePoint
- Une application de service Profil utilisateur doit être configurée et démarrée. Informations complémentaires : Créer, modifier ou supprimer des applications de service Profil utilisateur sur SharePoint Server 2013
- Le service de recherche SharePoint doit être activé pour le partage de documents. Informations complémentaires : Créer et configurer une application de service de recherche dans SharePoint Server
- Pour la fonctionnalité de gestion des documents lors de l’utilisation des applications mobiles des applications Microsoft Customer Engagement (on-premises), le serveur SharePoint local doit être disponible via Internet.
- Pour permettre aux utilisateurs de créer des bibliothèques de documents SharePoint à partir de Customer Engagement (on-premises), les autorisations et les configurations suivantes sont nécessaires :
  - Le compte Active Directory de l’utilisateur Customer Engagement (on-premises) doit être membre du groupe Membres de sites dans la collection de sites SharePoint où sont stockés les documents.
  - Par défaut, le mappage de l’authentification basée sur les revendications utilise l’adresse de messagerie SharePoint de l’utilisateur Customer Engagement (on-premises) et son adresse Courrier électronique de travail SharePoint locale pour le mappage. Lorsque ce mappage est utilisé, les adresses de messagerie de l’utilisateur doivent être identiques dans les deux systèmes. Informations complémentaires : Configurer le mappage des revendications utilisateur à l’aide de l’adresse de messagerie SharePoint

D’autres conditions préalables et restrictions

Certificat numérique X509 à utiliser pour l’authentification basée sur serveur entre Dynamics 365 Server et le serveur SharePoint. Les clés de certificat doivent avoir au minimum un cryptage 2048 bits. Dans la plupart des cas, ce certificat doit être émis par une autorité de certification de confiance, mais à des fins d’évaluation vous pouvez utiliser un certificat auto-signé.
L’identité du pool d’applications CRMAppPool doit avoir un accès en lecture au certificat x509 qui est utilisé pour l’authentification basée sur serveur avec Dynamics 365 Server et le serveur SharePoint. Vous pouvez utiliser le composant logiciel enfichable MMC Certificats pour octroyer cet accès.
Si vous utilisez Microsoft SharePoint 2013, pour chaque batterie SharePoint, une seule organisation Customer Engagement (on-premises) peut être configurée pour l’intégration basée sur serveur. Vous pouvez toutefois connecter plusieurs organisations Customer Engagement (on-premises) à une batterie de serveurs 2016 SharePoint.

Préparer Dynamics 365 Server pour l’intégration basée sur serveur

CertificateReconfiguration.ps1 est un script Windows PowerShell qui installe un certificat dans le magasin de certificats local, octroie à l’identité Service de traitement asynchrone Microsoft Dynamics 365 spécifiée un accès au certificat et met à jour Dynamics 365 Server pour utiliser le certificat.

Ajouter le certificat de serveur à serveur au magasin de certificats local et à la base de données de configuration Customer Engagement (on-premises)

Ouvrez une session de commande PowerShell sur tous les serveurs où le rôle Serveur complet Dynamics 365 Server est installé.

Important

Vous devez exécuter la commande décrite ici sur tous les serveurs sur lesquels le rôle Serveur d’applications web s’exécute.

Modifier l’emplacement avec le dossier <lecteur>:\Program Files\Microsoft Dynamics CRM\Tools.
Exécutez le script Windows PowerShell CertificateReconfiguration.ps1 comme décrit ici :
- certificateFilepath\Personalcertfile.pfx . Paramètre requis qui spécifie le chemin d’accès complet au fichier d’échange d’informations personnelles (.pfx). Informations complémentaires : Utilisation des certificats numériques
- passwordpersonal_certfile_password. Paramètre requis qui spécifie le mot de passe de certificat privé.
- certificateType S2STokenIssuer. Paramètre requis qui spécifie le type de certificat. Pour l’intégration basée sur serveur Customer Engagement (on-premises) et SharePoint, seul S2STokenIssuer est pris en charge.
- serviceAccount ‘DomainName\UserName’ ou ‘Network Service’.
```
serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.
```
- updateCrm. Ajoute les informations de certificat à la base de données de configuration Microsoft Customer Engagement (on-premises).
  
  Important
  
  Même si plusieurs rôles Serveur d’applications Web ou Service asynchrone sont déployés, vous ne devez exécuter qu’une seule fois la commande avec le paramètre updateCrm.
- storeFindType FindBySubjectDistinguishedName. Spécifie le type de magasin de certificats. Par défaut, cette valeur est FindBySubjectDistinguishedName et est recommandée lorsque vous exécutez le script.
Important

Bien que les paramètres updateCrm et StoreFindType soient optionnels pour exécuter la commande, ces paramètres sont nécessaires pour l’intégration SharePoint basée sur serveur afin que les informations de certificat soient ajoutées à la base de données de certification.

Exemple
```
.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
```

Préparer la batterie SharePoint pour l’intégration basée sur serveur

Obtenir l’ID de domaine Dynamics 365

Démarrez l’Assistant Activer l’intégration SharePoint basée sur serveur. Accédez à Paramètres>Gestion des documents.
Sélectionnez Suivant, Local, puis Suivant.
L’ID s’affiche en regard de ID de domaine Dynamics 365 dans la page.

Astuce

Enregistrez l’ID de domaine Dynamics 365 dans un fichier texte sur un partage réseau sécurisé ou un stockage en cloud. Ensuite, vous pouvez facilement le récupérer depuis l’emplacement où vous exécutez l’Assistant Activation de l’intégration SharePoint basée sur serveur.

Sur le serveur SharePoint local, dans le SharePoint Management Shell, exécutez les commandes PowerShell dans l’ordre indiqué.

Préparer le serveur SharePoint pour l’authentification de Dynamics 365 Server

Si vous utilisez un shell de gestion PowerShell différent du shell de gestion SharePoint, vous devez enregistrer le module SharePoint à l’aide de la commande suivante.
```
Add-PSSnapin Microsoft.SharePoint.PowerShell
```
Activez la session PowerShell pour modifier le service d’émission de jeton de sécurité pour la batterie SharePoint.
```
$c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()
```
Créez l’objet service d’émission de jeton de sécurité de confiance, où OrganizationName représente le nom unique de l’organisation Customer Engagement (on-premises) et CrmServer représente le nom du serveur Web IIS où le rôle Serveur d’applications Web Customer Engagement (on-premises) est installé et -Name “crm” sert à nommer le serveur d’émission de jeton de sécurité (STS).
Important
- La connexion de plusieurs organisations Customer Engagement (on-premises) à une batterie de serveurs Microsoft SharePoint 2013 n’est pas prise en charge. Vous pouvez toutefois connecter plusieurs organisations Customer Engagement (on-premises) à une batterie de serveurs 2016 SharePoint.
- Lorsque vous exécutez la commande PowerShell New-SPTrustedSecurityTokenIssuer, vous devez spécifier le protocole HTTPS pour le point de terminaison des métadonnées Customer Engagement (on-premises) lorsque le site web de l’application Customer Engagement (on-premises) a uniquement des liaisons HTTPS ou HTTPS et HTTP, comme l’exemple suivant.
```
New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
```
Enregistrez Customer Engagement (on-premises) avec la collection de sites SharePoint .

Pour exécuter les commandes suivantes, vous devez spécifier deux paramètres :
- L’URL de la collection de sites SharePoint en local. Dans l’exemple ici, https://sharepoint.contoso.com/sites/crm/ est utilisé pour l’URL de la collection de sites.
- CrmRealmId représente l’ID de l’organisation Customer Engagement (on-premises) à utiliser pour la gestion de documents avec SharePoint. Informations complémentaires : Obtenir de l’ID de domaine de Dynamics 365
Important

Pour réaliser ces commandes, le proxy d’applications de service de gestion des applications SharePoint doit exister et être en cours d’exécution. Pour savoir comment démarrer et configurer le service, voir la rubrique Configuration des paramètres d’abonnement et des applications de service de gestion d’applications dans Configuration d’un environnement pour les applications pour SharePoint.
```
$CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
```
Autorisez Customer Engagement (on-premises) à accéder au site SharePoint.
Note

Dans l’exemple ci-dessous, Customer Engagement (on-premises) est autorisé à accéder à la collection de sites SharePoint spécifiée à l’aide du paramètre de collection de site –Scope. Le paramètre Étendue accepte les options suivantes. Utilisez l’étendue la plus appropriée pour votre configuration SharePoint :
- site. Autorise Customer Engagement (on-premises) à accéder uniquement au site Web SharePoint spécifié. Il n’autorise pas l’accès aux sous-sites du site nommé.
- sitecollection. Autorise Customer Engagement (on-premises) à accéder à tous les sites Web et sous-sites de la collection de sites SharePoint spécifiée.
- sitesubscription. Autorise Customer Engagement (on-premises) à accéder à tous les sites Web de la batterie SharePoint, notamment l’ensemble des collections de sites, sites Web et sous-sites.
```
$app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
```

Exécuter l’assistant Activer l’intégration SharePoint basée sur serveur

Dans Customer Engagement (on-premises), accédez à Paramètres>Gestion des documents.
Dans la zone Gestion des documents, sélectionnez Activer l’intégration SharePoint basée sur serveur.
Passez les informations en revue et sélectionnez Suivant.
Pour les sites SharePoint, sélectionnez Local, puis Suivant.
Dans la phase Préparer les sites, entrez les informations suivantes :
- URL de la collection de sites SharePoint local, sous la forme https://sharepoint.contoso.com/sites/crm, par exemple. Le site doit être configuré pour TLS/SSL.
- ID de domaine SharePoint. Obtenir l’ID de domaine SharePoint
Sélectionnez Suivant.
La section de validation des sites apparaît. Si tous les sites sont valides, sélectionnez Activer. Si un ou plusieurs sites ne sont pas valides, voir Dépannage de l’intégration basée sur serveur entre Dynamics 365 Server et SharePoint Server local.

Sélectionnez les entités à inclure dans la gestion des documents

Par défaut, les entités Compte, Article, Prospect, Produit, Devis Documentation commerciale sont incluses. Vous pouvez ajouter ou supprimer les entités qui seront utilisées pour la gestion de documents avec SharePoint dans Paramètres de gestion des documents des applications Customer Engagement. Accédez à Paramètres>Gestion des documents. Pour plus d’informations : Activer la gestion des documents SharePoint pour des entités spécifiques

Ajout de l’intégration de OneDrive Entreprise

Une fois que vous avez effectué la configuration de l’intégration basée sur serveur pour Customer Engagement (on-premises) et SharePoint en local, vous pouvez également intégrer OneDrive Entreprise. Avec l’intégration de Customer Engagement (on-premises) OneDrive Entreprise, les utilisateurs de Customer Engagement (on-premises) peuvent créer et gérer des documents privés à l’aide de OneDrive Entreprise. Ces documents sont accessibles dans Customer Engagement (on-premises) dès que l’administrateur système a activé OneDrive Entreprise.

Activer OneDrive Entreprise

Sur Windows Server où SharePoint Server local est exécuté, ouvrez le Management Shell SharePoint et exécutez les commandes suivantes.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Résolution des problèmes liés à Customer Engagement (on-premises) pour l’intégration basée sur un serveur local SharePoint Server

Pour plus d’informations sur la résolution de l’Assistant Activation de l’intégration SharePoint basée sur serveur et afficher les journaux d’analyse SharePoint, voir Résolution des problèmes liés à l’authentification basée sur serveur.

Problèmes connus

Pour la résolution des problèmes et les problèmes connus concernant la gestion de documents avec SharePoint, voir Résolution des problèmes liés à l’authentification basée sur serveur.

À propos du mappage de l’authentification basée sur les revendications

Lorsque vous utilisez le mappage d’authentification basé sur les revendications, le domaine Active Directory dans lequel le serveur SharePoint et Dynamics 365 Server sont localisés doivent être identiques. Les serveurs hébergés dans différentes forêts ou domaines Active Directory ne sont pas pris en charge. De même, les utilisateurs qui se trouvent dans des domaines externes à Dynamics 365 Server ou le serveur SharePoint n’auront pas accès aux documents.

Par défaut, l’authentification basée serveur entre Customer Engagement (on-premises) et SharePoint en local utilise l’identificateur de sécurité de l’utilisateur pour authentifier chaque utilisateur. Si vous souhaitez utiliser un mappage personnalisé d’authentification basée sur les revendications, telles que l’adresse de messagerie de l’utilisateur, voir Définition d’un mappage de revendication personnalisé pour l’intégration basée sur SharePoint

Configurer le mappage des revendications utilisateur à l’aide de l’adresse de messagerie SharePoint

Ouvrez l’éditeur de formulaires pour personnaliser le formulaire d’utilisateur. Pour ce faire, accédez à Paramètres>Sécurité>Utilisateurs, puis ouvrez l’enregistrement utilisateur que vous souhaitez.
Dans la barre d’outils, sélectionnez ... puis Éditeur de formulaires.
Recherchez le champ Adresse de messagerie SharePoint dans le volet Explorateur de champs et faites-le glisser-déposer sur la section Informations sur l’utilisateur du formulaire utilisateur.
Sur la barre d’outils de l’éditeur de formulaires, sélectionnez Enregistrer, puis Publier.
Fermez l’éditeur de formulaires ou actualisez l’onglet du navigateur web pour afficher le champ que vous venez d’ajouter dans l’enregistrement utilisateur.
Dans le champ Adresse de messagerie SharePoint de l’enregistrement utilisateur, entrez l’adresse de messagerie de l’utilisateur exactement telle qu’elle apparaît dans SharePoint.
Sélectionnez Enregistrer.
Répétez les deux étapes précédentes pour tous les utilisateurs qui auront besoin de la gestion des documents.

Utilisation des certificats numériques

La procédure suivante crée un fichier d’échange d’informations personnelles (.pfx).

Sur un ordinateur ayant accès au certificat à utiliser pour l’authentification de serveur à serveur, cliquez sur Démarrer, cliquez sur Exécuter, tapez MMC, puis appuyez sur Entrée.
Sélectionnez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.
Dans la liste des composants logiciels enfichables disponibles, sélectionnez Certificats, Ajouter, Compte d’ordinateur, Suivant, Terminer pour sélectionner l’ordinateur local, puis sélectionnez OK.
Développez Certificats, Personnel, puis sélectionnez Certificats.
Cliquez avec le bouton droit sur le certificat que vous souhaitez utiliser pour créer un fichier de certificat personnel, pointez sur Toutes les tâches, puis sélectionnez Exporter.
Sélectionnez Suivant, puis Oui pour exporter la clé privée, vérifiez que les options suivantes sont activées, puis sélectionnez Suivant.
- Ajoutez tous les certificats dans le chemin de certification si possible
- Exporter toutes les propriétés étendues
Sélectionnez Parcourir et entrez un emplacement et le nom du fichier .pfx, puis sélectionnez Enregistrer.
Sélectionnez Suivant, puis Terminer.

Obtenir l’ID de domaine SharePoint

Exécutez la commande PowerShell suivante dans le shell de gestion de SharePoint, où https://sharepoint.contoso.com/sites/crm/ représente l’URL de la collection de sites SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Vous pouvez également rechercher l’ID de domaine SharePoint dans les autorisations relatives à l’application de site de la collection de sites SharePoint.

Connectez-vous à la collection de sites SharePoint à utiliser pour la gestion de documents avec Customer Engagement (on-premises).
Accédez à Paramètres du site>Autorisations relatives à l’application du site.
L’ID de domaine est affiché sous Identificateur d’applications, à droite du signe @. Copiez-le dans le Presse-papiers. Dans l’Assistant Activation d’intégration SharePoint basée sur serveur, collez uniquement le GUID. N’effectuez pas le collage dans une partie de l’identificateur à gauche de @.

Partager via