A kiszolgáló alapú hitelesítés konfigurálása a Dynamics CRM Online és a helyszíni SharePoint esetében

 

Közzétéve: 2016. november

Hatókör: Dynamics CRM 2015

A Microsoft Dynamics CRM Online 2015 1. frissítés kiadással együtt bemutatott, kiszolgáló alapú Microsoft SharePoint integrációs dokumentumkezelés mostantól a Microsoft Dynamics CRM Online és a SharePoint helyszíni alkalmazás összekötésére is alkalmazható. Kiszolgáló alapú hitelesítés használatakor az Azure Active Directory hozzáférést ellenőrző szolgáltatás (ACS) szolgál bizalmi brókerként, és a felhasználóknak nem kell bejelentkezniüks az SharePoint szolgáltatásba. Ezenkívül az érvénytelenített SharePoint elszigetelő funkcióját megkövetelő listás vezérlő nem szükséges a SharePoint a dokumentumok megjelenítéséhez Microsoft Dynamics 365 nézetben.

Szükséges engedélyek

Office 365

• Office 365 globális rendszergazdai tagság. Ez szükséges a(z) Microsoft Office 365 előfizetés rendszergazdaként történő eléréséhez és a Microsoft AzurePowerShell parancsmagok futtatásához.

Microsoft Dynamics CRM Online

• Jogosultság a SharePoint-integrációs varázsló futtatására. Ez szükséges a Microsoft Dynamics 365 rendszeren belüli Kiszolgáló alapú hitelesítés engedélyezése varázsló futtatásához.

  Alapértelmezés szerint a Rendszergazda biztonsági szerepkör rendelkezik ilyen engedéllyel.

SharePoint helyszíni változat

• Farmrendszergazda csoporttagság. Ez szükséges a PowerShell a parancsok többségének a SharePoint kiszolgálóján való futtatásához.

Kiszolgál-kiszolgáló hitelesítés beállítás a CRM Online és a helyszíni SharePoint alkalmazással

A CRM Online és a helyszíni SharePoint 2013 együttes beállításához kövesse az alábbi lépéseket.

Fontos

Az itt leírt lépéseket a megadott sorrendben kell elvégezni. Ha egy feladat nem fejeződik be, például egy PowerShell parancs hibaüzenetet jelenít meg, a problémát meg kell oldani, mielőtt továbblépne a következő parancsra, feladatra vagy lépésre.

Előfeltételek ellenőrzése

A Microsoft Dynamics CRM Online és a helyszíni SharePoint kiszolgáló alapú hitelesítési konfigurálása előtt a következő előfeltételnek kell teljesülnie.

SharePoint előfeltételei

• Microsoft SharePoint 2013 (helyszíni) 1-es szervizcsomag (SP1) vagy annál újabb verzió

  Fontos

  A Microsoft Dynamics 365 dokumentumkezelése nem támogatja a Microsoft SharePoint Foundation 2013 verziók használatát.

• KB2883081 gyorsjavítás a SharePoint Foundation 2013 alkalmazáshoz, 2014. augusztus 12. (Sts-x-none.msp)

  Fontos

  Az alábbi frissítések előfeltételei a KB2883081 gyorsjavításnak, és elő is előírható.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• Az SharePoint konfigurálása

  • A SharePoint alkalmazást csak egyetlen farmtelepítéshez kell konfigurálni.

  • A SharePoint webhely elérhető az interneten keresztül. A SharePoint hitelesítéséhez szükség lehet fordított proxy-ra is. További információ: Fordított proxy-eszköz konfigurálása a SharePoint Server 2013 hibridhez

  • A SharePoint webhelyet konfigurálni kell az SSL (HTTPS) használatára, és a bizonyítványt egy nyilvános, legfelső szintű hitelesítésszolgáltatónak kell kiállítania.További információ:SharePoint: A biztonságos csatornák SSL-tanúsítványairól

  • Egy megbízható felhasználói tulajdonság, amelyet a jogcímalapú hitelesítési leképezéshez lehet alkalmazni a SharePoint és q Microsoft Dynamics 365 között.További információ:A jogcímalapú hitelesítési leképezés típusának kiválasztása

További előfeltételek

• SharePoint Online licenc. A Microsoft Dynamics CRM Online rendszerből a SharePoint szolgáltatásba történő helyszíni szerver alapú hitelesítéshez a SharePoint az egyszerű szolgáltatásnév (SPN) regisztrálása szükséges a Azure Active Directory könyvtárban. Ehhez legalább egy SharePoint Online felhasználói licenc szükséges. A SharePoint Online licenc egyetlen felhasználói licencből is származhat, és általában a következők egyikéből származik:

  • Egy SharePoint Online előfizetés. Bármely SharePoint Online terv elegendő, akkor is, ha a licenc nincs hozzárendelve felhasználóhoz.

  • Egy Office 365 előfizetés, amely tartalmazza a SharePoint Online szolgáltatást. Például, ha Ön rendelkezik a Office 365 E3 szolgáltatással, akkor rendelkezik a megfelelő licenccel is, még abban az esetben is, ha a licenc nincs hozzárendelve egy felhasználóhoz sem.

  Ezen előfizetésekkel kapcsolatos további tudnivalókért lásd: Office 365: Előfizetés kiválasztása és SharePoint lehetőségek összehasonlítása

• Az alábbi szoftveres szolgáltatások szükségesek a fejezetben tárgyalt PowerShell parancsmagok futtatásához.

  • Microsoft Online Services bejelentkezési segéd informatikai szakemberek számára béta verzió

  • Azure Active Directory modul a Windows PowerShell alkalmazáshoz (64 bites verzió)

  Fontos

  A kiadvány írásakor van egy ismert probléma Microsoft Online Services bejelentkezési segéd informatikai szakemberek számára alkalmazás RTW verziójával. A probléma megoldásáig javasoljuk a béta verzió használatát.További információ:Microsoft Azure fórumok: Nem lehet telepíteni az Azure Active Directory Module for Windows PowerShell alkalmazást. MOSSIA nincs telepítve.

• A jogcímalapú hitelesítés megfelelő leképezési típusa, amely a Microsoft Dynamics CRM Online és a helyszíni SharePoint közötti azonosítók leképezéséhez használhatók. Alapértelmezés szerint a rendszer az e-mail címet használja.További információ:Microsoft Dynamics CRM engedély megadása a SharePoint alkalmazáshoz való hozzáféréshez és a jogcímalapú hitelesítési leképezés beállítása

Az SPN SharePoint-kiszolgáló frissítése az ACS-ben

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

1. Készítse elő a PowerShell munkamenet.

   A következő parancsmag lehetővé teszi a számítógép számára a távoli parancsok fogadását, és hozzáadja a Office 365 modulokat a PowerShell munkamenetéhez. Parancsmagok használatával kapcsolatos további tudnivalókért lásd: Windows PowerShell parancsmagok.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Csatlakozás az Office 365 szolgálatatáshoz.

   A Connect-MsolService parancs futtatásakor meg kell adnia egy érvényes Microsoft-fiók azonosítót, amely rendelkezik a szükséges SharePoint Online licenchez tartozó Office 365 globális rendszergazdai tagsággal.

   Az itt felsorolt Azure Active DirectoryPowerShell parancsokról szóló részletesebb információt itt talál: MSDN: Azure AD kezelése Windows PowerShell használatával.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. Állítsa be a SharePoint állomás nevét.

   Az Állomásnév változó értékének meg kell egyeznie a SharePoint webhelygyűjtemény teljes nevével. Az állomásnévnek a webhelycsoport URL-címéből kell származnia, és figyelembe kell venni a nagybetűket. Ebben a példában a webhelygyűjtemény URL-címe https://SharePoint.constoso.com/sites/salesteam, így az állomásnév SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"
   

4. Szerezze be az Office 365 objektumazonosítót (bérlőt) és a SharePoint Server Service Principal Name (SPN) nevét.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. Állítsa be a SharePoint Server Service Principal Name (SPN) nevét az ACS-ben.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

Ezen parancsok végrehajtása után nem zárja be a SharePoint 2013 felügyeleti rendszerhéját, majd folytassa a következő lépéssel.

Frissítse a SharePoint tartományát, hogy az megegyezzen a SharePoint Online tartományával

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezt a Windows PowerShell parancsot.

Az alábbi parancshoz szükség van a SharePoint farmadminisztrátori tagságára, de beállítja a helyszíni SharePoint farm azonosítási tartományát.

Figyelmeztetés

A parancs futtatásával módosul a helyszíni SharePoint farm hitelesítési tartománya. Egy meglévő biztonsági jegykiadó szolgáltatást (STS) használó alkalmazások esetén ez nem várt viselkedéshez vezethet, hozzáférési jogkivonatokat használó egyéb alkalmazásokkal való használatkor. További információ: SPAuthenticationRealm beállítása.

Set-SPAuthenticationRealm -Realm $SPOContextId

Hozzon létre egy megbízható biztonsági jogkivonat-kibocsátót az ACS számára a SharePoint-webhelyen

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

A következő parancsokhoz szükség van SharePoint farmrendszergazdai tagságra.

A PowerShell parancsokkal kapcsolatos részletes információkért lásd: Windows PowerShell parancsmagok használata a SharePoint 2013 biztonsági felügyeletéhez..

1. Engedélyezze a PowerShell munkamenetet a SharePoint farmhoz tartozó biztonsági jogkivonatokkal kapcsolatos szolgáltatások módosításához.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. A metaadat-végpont beállítása.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. Hozzon létre új jogkivonat-ellenőrző szolgáltatáshoz tartozó alkalmazási proxy-t a ACS alkalmazásban.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   Megjegyzés

   A New- SPAzureAccessControlServiceApplicationProxy paranccsal egy hibaüzenetet kapunk, mely azt jelzi, hogy az ACS alkalmazási proxy ugyanazon a néven már létezik. Ha az elnevezett ACS alkalmazási proxy már létezik, figyelmen kívül hagyhatja a hibát.

4. Hozzon létre új jogkivonat-ellenőrző szolgáltatási kibocsátót a helyszíni SharePoint alkalmazásban a ACS számára.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Microsoft Dynamics CRM engedély megadása a SharePoint alkalmazáshoz való hozzáféréshez és a jogcímalapú hitelesítési leképezés beállítása

A helyszíni SharePoint kiszolgálón, a SharePoint 2013 felügyeleti rendszerhéjon belül futtassa ezeket a PowerShell parancsokat a megadott sorrendben.

A következő parancsokhoz szükség van SharePoint oldalgyűjteményi rendszergazdai tagságra.

1. Regisztrálja a Microsoft Dynamics 365 rendszert a SharePoint webhelygyűjteménnyel.

   Adja meg a helyszíni SharePoint webhelygyűjtemény URL-címét. Ebben a példában a https://sharepoint.contoso.com/sites/crm/ címet alkalmazzuk.

   Fontos

   Ezen parancs végrehajtásához léteznie és futnia kell a SharePoint alkalmazáskezelőhöz tartozó szolgáltatási alkalmazásproxy-nak. A szolgáltatás elindításával és beállításával kapcsolatos további inormációért lásd az Előfizetési beállítások és alkalmazáskezelő szolgáltatási alkalmazások konfigurálása című alfejezetet a Környezet konfigurálása alkalmazások számára a SharePoint alkalmazáson belül (SharePoint 2013) című kiadványban.

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Hozzáférés biztosítása a Microsoft Dynamics 365 alkalmazásoknak a SharePoint webhelyekhez való hozzáféréshez. Cserélje ki a https://sharepoint.contoso.com/sites/crm/ hivatkozást a saját SharePoint oldalának címére.

   Megjegyzés

   Az alábbi példában a Dynamics 365 alkalmazás engedélyt kap a megadott SharePoint -webhelycsoporthoz a –Hatókör webhelycsoport paraméter használatával. A Hatókör paraméter a következő beállításokat fogadja el. Válassza ki azt a hatókört, amely a legmegfelelőbb a saját SharePoint konfiguráció számára.

   • site. Engedélyt ad a Dynamics 365 alkalmazás számára, de csak a megadott SharePoint webhelyhez. Ez nem ad engedélyt a megnevezett webhely alwebhelyeihez.

   • sitecollection. Engedélyt ad a Dynamics 365 alkalmazás számára az összes webhelyhez és alwebhelyhez, a megadott SharePoint webhelycsoporton belül.

   • sitesubscription. Engedélyt ad a Dynamics 365 alkalmazás számára az összes webhelyhez a SharePoint farmon belül, beleértve minden oldalgyűjteményt, weboldalt és aloldalt.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. Állítsa be a jogcímalapú hitelesítési leképezés típusát.

   Fontos

   Alapértelmezés szerint a jogcímalapú hitelesítési leképezés a felhasználó Microsoft-fiók e-mail címét és a felhasználó helyszíni SharePoint alkalmazásbeli Munkahelyi e-mail címét fogja használni a leképezéshez. Ha ezt a beállítást használja, a felhasználó e-mail címének meg kell egyeznie a két rendszerben. További információkért lásd: A jogcímalapú hitelesítési leképezés típusának kiválasztása.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Futtassa a Kiszolgáló alapú SharePoint-integráció engedélyezése varázslót

A Microsoft Dynamics 365 alkalmazásban kövesse az alábbi lépéseket.

1. Válassza a Beállítások > Dokumentumkezelés lehetőséget.

2. A Dokumentumkezelés területen válassza a Kiszolgáló alapú SharePoint-integráció engedélyezése lehetőséget.

3. Vizsgálja felül az adatokat, majd válassza a Következő gombot.

4. A SharePoint oldalak esetében válassza a Helyszíni lehetőséget és válassza a Tovább gombot.

5. Adja meg a helyszíni SharePoint webhelycsoport URL-címét, például: https://sharepoint.contoso.com/sites/crm. A webhelyet SSL-re kell konfigurálni.

6. Válassza a Következő lehetőséget.

7. Megjelenik a helyek ellenőrzése szakasz. Ha az összes webhely érvényesként lett megjelölve, válassza az Engedélyezés lehetőséget. Ha egy vagy több hely érvénytelenként lett meghatározva, lásd: Hibaelhárítás kiszolgáló-alapú hitelesítés esetén.

Azon entitások kiválasztása, amelyeket be kell illeszteni a dokumentumkezelésbe

Alapértelmezés szerint a Számla, a Cikk, az Érdeklődő, a Termék, az Árajánlat és a Termékleírások entitásokhoz tartoznak bele. Hozzáadhat vagy eltávolíthat olyan entitásokat, melyek a SharePoint dokumentumkezelése során kerülnek alkalmazásra a Dokumentumkezelési beállítások lehetőségen belül a Microsoft Dynamics 365 rendszerben.Válassza a Beállítások > Dokumentumkezelés lehetőséget.További információ:Ügyfélközpont: Dokumentumkezelés engedélyezése entitásokon

A jogcímalapú hitelesítési leképezés típusának kiválasztása

Alapértelmezés szerint a jogcímalapú hitelesítési leképezés a felhasználó Microsoft-fiók e-mail címét és a felhasználó helyszíni SharePoint alkalmazásbeli munkahelyi e-mail címét fogja használni a leképezéshez. Vegye figyelembe, hogy bármilyen jogcímen alapuló hitelesítés használata esetén az értékeknek, például az e-mail címeknek, meg kell egyeznie a Microsoft Dynamics CRM Online és a SharePoint esetében.Office 365 a címtár szinkronizálás segíthet ezen.További információ:Az Office 365 könyvtári szinkronizációjának telepítése (DirSync) a Microsoft Azure programban Más típusú jogcímalapú hitelesítési leképezés használatához lásd: MSDN: Egyéni igények leképezésének megadása a SharePoint kiszolgáló alapú integrációjában.

Fontos

A munkahelyi e-mail tulajdonság engedélyezéséhez a helyszíni SharePoint alkalmazásnak rendelkeznie kell egy konfigurált és elindított felhasználói profilhoz tartozó szolgáltatási alkalmazással. A felhasználói profilok szolgáltatási alkalmazásának a SharePoint alkalmazáson belüli engedélyezéséhez lásd: Felhasználói profilok szolgáltatási alkalmazásának létrehozása, szerkesztése vagy törlése a SharePoint Server 2013 alkalmazásban. Ha módosítani szeretné a felhasználói tulajdonságot, például a munkahelyi e-mail címet, lásd: Felhasználói profil tulajdonságainak szerkesztése. A felhasználói profilok szolgáltatási alkalmazásával kapcsolatos további tudnivalókért lásd: A SharePoint Server 2013 felhasználói profiljaihoz tartozó szolgáltatási alkalmazás áttekintése.

Lásd még

Hibaelhárítás kiszolgáló-alapú hitelesítés esetén
A SharePoint és a Microsoft Dynamics CRM integrálásának beállítása

© 2016 Microsoft Corporation. Minden jog fenntartva. Szerzői jogi tájékoztató