Configurar a autenticación baseada en servidor con SharePoint local

Nota

O novo e mellorado Power Platform centro de administración está agora en vista previa pública. Deseñamos o novo centro de administración para que sexa máis fácil de usar, cunha navegación orientada a tarefas que che axuda a conseguir resultados específicos máis rápido. Publicaremos documentación nova e actualizada a medida que o novo Power Platform centro de administración pase a dispoñibilidade xeral.

A integración de SharePoint baseada no servidor para a xestión de documentos pódese usar para conectar aplicacións de interacción cos clientes (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), con SharePoint local. Cando se utiliza a autenticación baseada no servidor, utilízase Microsoft Entra Servizos de dominio como intermediario de confianza e os usuarios non precisan iniciar sesión SharePoint.

Permisos requiridos

Os seguintes membros e privilexios son necesarios para activar a xestión de documentos de SharePoint.

• Subscrición de administrador global de Microsoft 365: é necesaria para:

  • Acceso de nivel administrativo á subscrición a Microsoft 365.
  • Execución do asistente de activar autenticación baseada en servidor.
  • Execución dos cmdlets AzurePowerShell.

• Power Apps Execute o privilexio do asistente de integración de SharePoint. Isto é necesario para executar o asistente Activar a Autenticación baseada en servidor.

  Por defecto, o rol de seguranza de Administrador do Sistema ten este privilexio.

• Para a integración local de SharePoint, pertenza ao grupo de administradores de granxas de SharePoint. Isto é necesario para executar a maioría dos comandos de PowerShell no servidor SharePoint.

Configurar a autenticación de servidor a servidor con SharePoint local

Siga os pasos indicados na orde fornecida para configurar aplicacións de interacción cos clientes con SharePoint 2013 local.

Importante

Os pasos descritos aquí se débense completar na orde fornecida. Se unha tarefa non está concluída, como un comando de PowerShell que devolve unha mensaxe de erro, o problema débese resolver antes de continuar ao seguinte comando, tarefa ou paso.

Verificar os requisitos previos

Antes de configurar aplicacións de interacción cos clientes e SharePoint local para a autenticación baseada en servidor, débense cumprir os seguintes requisitos previos:

Requisitos previos de SharePoint

• SharePoint 2013 (local) con Service Pack 1 (SP1) ou versión posterior

  Importante

  As versións de SharePoint Foundation 2013 non son compatibles para seren utilizadas coa xestión de documentos de aplicacións de interacción cos clientes.

• Instalar a actualización acumulativa de abril de 2019 para a a familia de produtos SharePoint 2013. Este CU de abril de 2019 inclúe todas as correccións de SharePoint 2013 (incluído todas as correccións de seguridade de SharePoint 2013) lanzadas dende SP1. O CU de abril de 2019 non inclúe SP1. Debe instalar SP1 antes de instalar o CU de abril de 2019. Máis información: KB4464514 SharePoint Server 2013 April 2019 CU

• Configuración de SharePoint

  • Se usa SharePoint 2013, para cada conxunto de servidores de SharePoint só se pode configurar unha aplicación de interacción cos clientes para a integración baseada en servidor.

  • O sitio web de SharePoint debe ser accesible mediante a Internet. Tamén pode ser necesario un proxy inverso para a autenticación de SharePoint. Máis información: Configurar nun dispositivo de proxy inverso para un híbrido de SharePoint Server 2013

  • O sitio web de SharePoint debe configurarse para usar SSL (HTTPS) no porto TCP 443 (non se admiten portos personalizados) e o certificado debe ser emitido por un Certificado Autoridade de certificados de orixe pública. Máis información: SharePoint : Sobre os certificados SSL de Canle segura

  • Unha propiedade de usuario de confianza para utilizar en asignacións de autenticación baseada en afirmacións entre SharePoint e aplicacións de interacción cos clientes. Máis información: Seleccionar un tipo de asignación de reclamacións

  • Para compartir documentos, hai que activar o servizo de busca de SharePoint. Máis información: Crear e configurar unha aplicación de servizo de busca en SharePoint Server

  • Para a funcionalidade de xestión de documentos ao utilizar as aplicacións móbiles de Dynamics 365, o servidor de SharePoint local debe estar dispoñible a través da internet.

Outros requisitos previos

• Licenza en liña de SharePoint. As aplicacións de participación do cliente para SharePoint autenticación baseada no servidor local deben ter o SharePoint nome principal do servizo (SPN) rexistrado no Microsoft Entra ID. Para conseguir isto, precísase como mínimo unha licenza de usuario de SharePoint Online. A licenza de SharePoint Online pode derivar dunha licenza de usuario individual e normalmente dunha das seguintes opcións:

  • Subscrición a SharePoint Online. Calquera plan de SharePoint Online é suficiente aínda que a licenza non estea atribuída a un usuario.

  • Unha subscrición a Microsoft 365 que inclúe SharePoint Online. Por exemplo, se ten Microsoft 365 E3, ten a licenza apropiada aínda que non estea atribuída a un usuario.

    Para obter máis información sobre estes plans, consulte Atopar a solución axeitada para vostede e Comparar opcións de SharePoint

• As seguintes funcionalidades de software son necesarias para executar os cmdlets de PowerShell descritos neste tema.

  • Asistente de inicio de sesión de Microsoft Online Services para profesionais de tecnoloxía da información Beta

  • MSOnlineExt

  • Para instalar o módulo MSOnlineExt, escriba o seguinte comando de sesión PowerShell de administrador. PS> Install-Module -Name "MSOnlineExt"

  Importante

  No momento de escribir este documento, hai un problema coa versión RTW do Asistente de inicio de sesión de Microsoft Online Services para profesionais de tecnoloxía da información. Até que se resolve o problema, recomendámoslle utilizar a versión Beta. Máis información: Microsoft Azure Foros: non se pode instalar Microsoft Entra Módulo para Windows PowerShell. MOSSIA non está instalado.

• Un tipo de asignación axeitada de autenticación baseada en afirmacións para utilizar coa asignación de identidades entre aplicacións de interacción cos clientes e SharePoint local. Por defecto, utilízase un enderezo de correo electrónico. Máis información: Conceder permiso a aplicacións de interacción cos clientes para acceder a SharePoint e configurar a asignación de autenticación baseada en afirmacións

Actualiza o SharePoint SPN do servidor en Microsoft Entra Servizos de dominio

En SharePoint Server local, na shell de xestión de SharePoint 2013, execute estes comandos de PowerShell na orde que aparecen.

1. Prepare a sesión de PowerShell.

   Os seguintes cmdlets permiten que o computador reciba comandos remotos e engada módulos de Microsoft 365 á sesión de PowerShell. Para obter máis información acerca destes cmdlets, consulte Cmdlets principais de Windows PowerShell

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Conectar con Microsoft 365.

   Cando executa o comando Connect-MsolService, debe introducir unha conta de Microsoft válida que pertenza ao Administrador global para a licenza de SharePoint Online que se precisa.

   Para obter información detallada sobre cada un dos Microsoft Entra comandos IDPowerShell enumerados aquí, consulte Xestionar Microsoft Entra usando Windows PowerShell

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Definir o nome de aloxamento de SharePoint.

   O valor que define para a variable HostName debe ser o nome de aloxamento completo da colección de sitios de SharePoint. O hostname debe derivar do URL da colección de sitios e diferencia maiúsculas e minúsculas. Neste exemplo, o URL da colección de sitios é <https://SharePoint.constoso.com/sites/salesteam>, polo que é o nome do servidor é SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Obter o ID do obxecto de Microsoft 365 (arrendatario) e Nome principal do servizo (SPN) de servidor de SharePoint.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Establece o SharePoint Nome principal do servizo do servidor (SPN) no Microsoft Entra ID.

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Despois de concluír estes comandos non peche SharePoint 2013 Management Shell e vaia ao seguinte paso.

Actualización do ámbito de SharePoint para que coincida co de SharePoint Online

No servidor de SharePoint local, en SharePoint 2013 Management Shell, execute este comando de Windows PowerShell.

O comando seguinte require pretenza de administradores subcontratados en SharePoint e define o ámbito de autenticación do subcontrato de SharePoint local.

Atención

Ao executar este comando muda o ámbito de autenticación do subcontrato de SharePoint local. No caso de aplicacións que utilizan un servizo de token de seguridade (STS), isto pode provocar comportamento inesperado con outras aplicacións que utilizan token de acceso. Máis información: Definir-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Crea un emisor de tokens de seguranza de confianza para Microsoft Entra ID activado SharePoint

En SharePoint Server local, na shell de xestión de SharePoint 2013, execute estes comandos de PowerShell na orde que aparecen.

Os comandos seguintes require pertenza a administradoressubcontratados de SharePoint.

Para obter información detallada sobre estes comandos de PowerShell, consulte Usar cmdlets de Windows PowerShell para administrar a seguranza en SharePoint 2013.

1. Active a sesión de PowerShell para modificar o servizo de token de seguridade para os conxuntos de servidores de SharePoint.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Definir o extremo de metadatos.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Crea o novo proxy da aplicación do servizo de control de tokens en Microsoft Entra ID.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Nota

   O comando New- SPAzureAccessControlServiceApplicationProxy pode devolver unha mensaxe de erro que indica que xa existe un proxy de aplicación co mesmo nome. Se xa existe o proxy de aplicación, pode ignorar a mensaxe de erro.

4. Crea o novo emisor do servizo de control de tokens en SharePoint on-premises para Microsoft Entra ID.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Conceder permiso a aplicacións de interacción cos clientes para acceder a SharePoint e configurar a asignación de autenticación baseada en afirmacións

En SharePoint Server local, na shell de xestión de SharePoint 2013, execute estes comandos de PowerShell na orde que aparecen.

Os comandos seguintes requiren pertenza á administración de colección de sitios de SharePoint.

1. Rexistrar aplicacións de interacción cos clientes coa colección de sitios de SharePoint.

   Introduza o URL da colección de sitios de SharePoint local URL. Neste exemplo, úsase https://sharepoint.contoso.com/sites/crm/.

   Importante

   Para completar este comando, a aplicación proxy do servizo de xestión de aplicacións de SharePoint debe existir e estarse a executar. Para obter máis información sobre como comezar e configurar o seu servizo, consulte o subtema Configurar as aplicacións de servizo da xestión da aplicación e os axustes de subscrición en Configurar un ambiente de aplicacións para SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Conceder acceso a aplicacións de interacción cos clientes ao sitio de SharePoint. Substitúa https://sharepoint.contoso.com/sites/crm/ co URL do sitio de SharePoint.

   Nota

   No exemplo que aparece a continuación, a aplicación de interacción cos clientes ten permiso para a colección de sitios de SharePoint especificada utilizando o parámetro de colección de sitios de Scope. O parámetro Scope acepta as seguintes opcións. Elixa o ámbito máis adecuado para a súa configuración de SharePoint.

   • site. Concede o permiso de aplicacións de interacción cos clientes só ao sitio web de SharePoint especificado. Non concede permiso a ningún subsitio no sitio nomeado.
     • sitecollection. Concede o permiso de aplicacións de interacción cos clientes a todos os sitios web e subsitios dentro da colección de sitios de SharePoint especificada.
     • sitesubscription. Concede o permiso de aplicacións de interacción cos clientes a todos os sitios web e subsitios dentro do conxunto de servidores de SharePoint incluídas todas as coleccións de sitios, sitios web e subsitios.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Definir o tipo de asignación de autenticación baseada en afirmacións.

   Importante

   Por defecto, a asignación de autenticación baseada en afirmacións utilizará o enderezo de correo de conta de Microsoft e o correo electrónico de traballo de SharePoint local para a asignación. Ao utilizar isto, os enderezos de correo electrónico do usuario deben coincidir entre os dous sistemas. Para obter máis información, consulte Selección de tipo de asignación de autenticación baseada en afirmacións.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Executar o asistente da activación da integración de SharePoint baseada en servidor

Siga estes pasos:

1. Verifique que ten o permiso adecuado para executar o asistente. Máis información: Permisos necesarios

2. Vaia a Configuración>Xestión de documentos.

3. Na área Xestión de documentos, prema Activar a integración de SharePoint baseada en servidor.

4. Revise a información e, a seguir, prema Seguinte.

5. Para os sitios de SharePoint, prema Local e, a seguir, Seguinte.

6. Introduza o URL da colección de sitios de SharePoint, como https://sharepoint.contoso.com/sites/crm. O sitio debe configurarse para SSL.

7. Prema Seguinte.

8. Aparece a sección de sitios validados. Se todos os sitios se consideran válidos, prema Activar. No caso de que se determine que un ou varios sitios non son válidos, consulte Solución de problemas de autenticación baseada en servidor.

Seleccione as entidades que desexa incluír na xestión de documentos

Por defecto, as entidades Conta, Artigo, cliente Potencial, Produto, Oferta e Documentación de Vendas están incluídas. Pode engadir ou eliminar as entidades que se utilizarán para xestión de documentos con SharePoint en Configuración da Xestión de Documentos. Vaia a Configuración>Xestión de documentos. Máis información: Activar a xestión de documentos en entidades

Agregar Integración de OneDrive for Business

Despois de concluír a configuración de autenticación baseada en servidor de aplicacións de interacción cos clientes e SharePoint local, tamén se pode integrar OneDrive for Business. Coa integración de aplicacións de interacción cos clientes e de OneDrive for Business, os usuarios poden crear e xestionar documentos privados utilizando OneDrive for Business. Pódese acceder a estes documentos unha vez que o administrador do sistema ten activado OneDrive for Business.

Activar OneDrive for Business

No Windows Server onde se está a executar SharePoint Server local, abra o shell de xestión de SharePoint e execute os seguintes comandos:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Seleccionar un tipo de asignación de autenticación baseada en afirmacións

Por defecto, a asignación de autenticación baseada en afirmacións utilizará o enderezo de correo de conta de Microsoft e o correo electrónico de traballo de SharePoint local para a asignación. Teña en conta que independentemente do tipo de autenticación baseada en afirmacións que utilice, os valores, como os enderezos de correo electrónico, deben coincidir entre aplicacións de interacción cos clientes e SharePoint. A sincronización de directorio de Microsoft 365 pode axudar con isto. Máis información: Implementar a sincronización dos directorios de Microsoft 365 en Microsoft Azure. Para utilizar un tipo de asignación de autenticación baseada en afirmacións diferente, consulte Definir a asignación de solicitude personalizada para a integración de SharePoint baseada en servidor.

Importante

Para activar a propiedade do correo de Traballo, SharePoint local debe ter unha Aplicación de Servizo do Perfil de Usuario configurada e iniciada. Para activar unha Aplicación de Servizo do Perfil de Usuario en SharePoint, consulte Crear, editar ou eliminar aplicacións de servizo de Perfil de Usuario en SharePoint Server 2013. Para modificar a propiedade dun usuario, como correo electrónico de Traballo, consulte Editar unha propiedade de perfil de usuario. Para obter máis información acerca da Aplicación de Servizo do Perfil de Usuario, consulte Visión xeral da aplicación do servizo de Perfil de Usuario en SharePoint Server 2013.

Consulte tamén

Solución de problemas de autenticación baseada no servidor
Configura a SharePoint integración coas aplicacións de participación do cliente