Bagikan melalui

Mengkonfigurasi otentikasi berbasis server dengan SharePoint on-premises

  • Artikel

Integrasi berbasis Server SharePoint untuk manajemen dokumen dapat digunakan untuk menghubungkan aplikasi keterlibatan pelanggan (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, dan Dynamics 365 Project Service Automation), dengan SharePoint on-premises. Saat menggunakan otentikasi berbasis server, Microsoft Entra Domain Services digunakan sebagai broker kepercayaan dan pengguna tidak perlu masuk SharePoint.

Izin yang diperlukan

Keanggotaan dan hak istimewa berikut diperlukan agar dapat mengaktifkan manajemen dokumen SharePoint.

  • Keanggotaan admin global Microsoft 365 - ini diperlukan untuk:

    • Akses tingkat administratif ke langganan Microsoft 365.
    • Menjalankan wizard aktifkan Autentikasi berbasis Server.
    • Menjalankan cmdlet AzurePowerShell.

  • Power Apps Hak istimewa Menjalankan Wizard Integrasi SharePoint. Hal ini diperlukan untuk menjalankan wizard otentikasi berbasis server.

    Secara default, peran keamanan administrator sistem memiliki hak istimewa ini.

  • Untuk SharePoint lokal, keanggotaan grup Administrator Farm SharePoint. Perintah ini diperlukan untuk menjalankan sebagian besar perintah PowerShell di server SharePoint.

Konfigurasi Otentikasi Server ke Server dengan SharePoint on-premises

Ikuti langkah-langkah dalam urutan disediakan untuk mengatur aplikasi keterlibatan pelanggan dengan SharePoint 2013 on-premises.

Penting

Langkah-langkah yang dijelaskan di sini harus diselesaikan dalam urutan yang diberikan. Jika tugas belum selesai, seperti perintah PowerShell yang memberikan pesan galat, masalah harus diselesaikan sebelum Anda melanjutkan ke perintah, tugas, atau langkah selanjutnya.

Verifikasi prasyarat

Sebelum mengkonfigurasi aplikasi keterlibatan pelanggan dan SharePoint on-premises untuk otentikasi berbasis server, persyaratan berikut harus dipenuhi:

Prasyarat SharePoint

  • SharePoint 2013 (lokal) dengan Service Pack 1 (SP1) atau versi kemudian

    Penting

    Versi SharePoint Foundation 2013 tidak didukung untuk digunakan dengan manajemen dokumen aplikasi keterlibatan pelanggan.

  • Instal pembaruan kumulatif (CU) April 2019 untuk keluarga produk SharePoint 2013. Ini CU April 2019 mencakup semua perbaikan SharePoint 2013 (termasuk semua perbaikan keamanan SharePoint 2013) yang dirilis sejak SP1. CU April 2019 tidak mencakup SP1. Anda harus menginstal SP1 sebelum menginstal CU April 2019. Informasi lebih lanjut: KB 4464514 CU April 2019 SharePoint server 2013

  • Konfigurasi SharePoint

    • Jika Anda menggunakan SharePoint 2013, untuk masing-masing farm SharePoint, hanya satu aplikasi keterlibatan pelanggan dapat dikonfigurasi untuk integrasi berbasis server.

    • Situs Web SharePoint harus dapat diakses melalui Internet. Proksi balikan juga mungkin diperlukan untuk otentikasi SharePoint. Informasi lebih lanjut: mengkonfigurasi perangkat reverse proxy untuk SharePoint Server 2013 hibrida

    • Situs Web SharePoint harus dikonfigurasi untuk menggunakan SSL (HTTPS) di TCP port 443 (tidak mendukung port kustom) dan sertifikat harus dikeluarkan oleh otoritas sertifikat akar publik. Informasi selengkapnya: SharePoint: tentang sertifikat SSL saluran aman

    • Properti pengguna yang andal untuk digunakan untuk pemetaan otentikasi berdasarkan klaim antara SharePoint dan aplikasi keterlibatan pelanggan. Informasi selengkapnya: Memilih jenis pemetaan klaim

    • Untuk berbagi-pakai dokumen, layanan pencarian SharePoint harus diaktifkan. Informasi lebih lanjut: Membuat dan mengkonfigurasi aplikasi layanan pencarian di Server SharePoint

    • Untuk fungsionalitas manajemen dokumen ketika menggunakan aplikasi Dynamics 365 mobile, server SharePoint on-premises harus tersedia melalui Internet.

Prasyarat lain

  • Lisensi SharePoint online. Aplikasi keterlibatan pelanggan untuk SharePoint lokal otentikasi berbasis server harus memiliki SharePoint nama prinsipal layanan (SPN) terdaftar di Microsoft Entra ID. Untuk mencapai hal ini, setidaknya satu lisensi pengguna SharePoint Online diperlukan. Lisensi SharePoint Online dapat berasal dari lisensi pengguna tunggal dan biasanya berasal dari salah satu berikut:

    • Langganan SharePoint Online. Setiap rencana SharePoint Online cukup bahkan jika lisensi tidak ditetapkan ke pengguna.

    • Langganan Microsoft 365 yang mencakup SharePoint Online. Misalnya, jika Anda memiliki Microsoft 365 E3, Anda memiliki perizinan yang sesuai bahkan jika lisensi tidak ditetapkan ke pengguna.

      Untuk informasi lebih lanjut tentang rencana ini, lihat menemukan solusi yang tepat untuk Anda dan membandingkan pilihan SharePoint

  • Fitur perangkat lunak berikut dibutuhkan untuk menjalankan PowerShell cmdlet yang dijelaskan dalam topik ini.

    • Microsoft Online Services Sign-In Assistant for IT Professionals Beta

    • MSOnlineExt

    • Untuk menginstal modul MSOnlineExt, masukkan perintah berikut dari sesi administrator PowerShell. PS> Install-Module -Name "MSOnlineExt"

    Penting

    Pada saat penulisan ini, ada masalah dengan versi RTW dari Microsoft Online Services Sign-In Assistant for IT Professionals. Sampai masalah diselesaikan, kami merekomendasikan bahwa Anda menggunakan versi Beta. Informasi selengkapnya:Forum: Microsoft Azure Tidak dapat menginstal Microsoft Entra modul untuk Windows PowerShell. MOSSIA tidak diinstal.

  • Jenis otentikasi berdasarkan klaim yang cocok digunakan untuk pemetaan identitas antara aplikasi keterlibatan pelanggan dan SharePoint on-premises. Secara default, alamat email digunakan. Informasi lebih lanjut: Beri izin aplikasi keterlibatan pelanggan untuk mengakses SharePoint dan mengkonfigurasi pemetaan otentikasi berdasarkan klaim

Memperbarui SPN Server di SharePoint Microsoft Entra Layanan Domain

Pada server SharePoint lokal, di SharePoint 2013 Management Shell, jalankan perintah PowerShell ini dalam urutan yang diberikan.

  1. Mempersiapkan sesi PowerShell.

    Cmdlet berikut mengaktifkan komputer untuk menerima perintah jarak jauh dan menambahkan modul Microsoft 365 untuk sesi PowerShell. Untuk selengkapnya tentang cmdlet ini lihat cmdlet Windows PowerShell Core.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Sambung ke Microsoft 365

    Ketika Anda menjalankan perintah Connect-MsolService, Anda harus memberikan akun Microsoft yang valid yang memiliki keanggotaan admin Global untuk lisensi SharePoint Online yang diperlukan.

    Untuk informasi selengkapnya tentang setiap perintah IDPowerShell yang Microsoft Entra tercantum di sini, lihat Mengelola Microsoft Entra menggunakan Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Menetapkan nama host SharePoint.

    Nilai yang Anda tetapkan untuk variabel HostName harus merupakan nama lengkap host koleksi situs SharePoint. Nama host harus berasal dari URL koleksi situs dan peka besar huruf. Di contoh ini, URL kumpulan lokasi adalah <https://SharePoint.constoso.com/sites/salesteam>, sehingga nama host adalah SharePoint.aswono.com.

    $HostName = "SharePoint.contoso.com"

  4. Mendapatkan id objek (penyewa) Microsoft 365 dan SharePoint Server Service Principal Name (SPN).

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. SharePoint Tetapkan Nama Prinsipal Layanan Server (SPN) di Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Setelah menyelesaikan perintah ini jangan tutup SharePoint 2013 Management Shell, dan lanjutkan ke langkah berikutnya.

Update realm SharePoint untuk menyesuaikan dengan yang di SharePoint Online

Pada server SharePoint lokal, di SharePoint 2013 Management Shell, jalankan perintah Windows PowerShell ini.

Perintah berikut memerlukan keanggotaan administrator farm SharePoint dan menetapkan realm otentikasi farm SharePoint lokal.

Perhatian

Menjalankan perintah ini mengubah realm otentikasi farm SharePoint lokal. Untuk aplikasi yang menggunakan layanan token keamanan yang ada (STS), ini dapat menyebabkan perilaku yang tidak terduga dengan aplikasi lain yang menggunakan token akses. Informasi lebih lanjut: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Membuat penerbit token keamanan tepercaya untuk Microsoft Entra ID aktif SharePoint

Pada server SharePoint lokal, di SharePoint 2013 Management Shell, jalankan perintah PowerShell ini dalam urutan yang diberikan.

Perintah berikut memerlukan keanggotaan administrator farm SharePoint.

Untuk informasi rinci tentang ini perintah PowerShell ini, lihat menggunakan Windows PowerShell cmdlet untuk mengelola keamanan di SharePoint 2013.

  1. Aktifkan sesi PowerShell untuk membuat perubahan ke layanan token keamanan untuk SharePoint farm.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Atur metadata endpoint.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Buat proksi aplikasi layanan kontrol token baru di Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Catatan

    Perintah New- SPAzureAccessControlServiceApplicationProxy dapat menghasilkan pesan galat yang menunjukkan bahwa proxy aplikasi dengan nama yang sama sudah ada. Jika proxy aplikasi bernama sudah ada, Anda dapat mengabaikan kesalahan.

  4. Buat penerbit layanan kontrol token baru di SharePoint lokal untuk Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Beri izin aplikasi keterlibatan pelanggan untuk mengakses SharePoint dan mengkonfigurasi pemetaan otentikasi berdasarkan klaim

Pada server SharePoint lokal, di SharePoint 2013 Management Shell, jalankan perintah PowerShell ini dalam urutan yang diberikan.

Perintah berikut memerlukan keanggotaan administrator koleksi situs SharePoint.

  1. Daftarkan aplikasi keterlibatan pelanggan dengan koleksi situs SharePoint.

    Masukkan URL koleksi situs SharePoint lokal. Dalam contoh ini, https://sharepoint.contoso.com/sites/crm/ digunakan.

    Penting

    Untuk menyelesaikan perintah ini, proksi Aplikasi Layanan Manajemen Aplikasi SharePoint harus ada dan berjalan. Untuk informasi lebih lanjut tentang bagaimana untuk memulai dan mengkonfigurasi layanan, lihat Mengkonfigurasi pengaturan langganan dan subtopik aplikasi layanan manajemen aplikasi di mengkonfigurasi lingkungan untuk aplikasi untuk SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Izinkan aplikasi keterlibatan pelanggan mengakses ke situs SharePoint. Ganti https://sharepoint.contoso.com/sites/crm/ dengan URL situs SharePoint Anda.

    Catatan

    Dalam contoh berikut ini, aplikasi keterlibatan pelanggan diberikan izin untuk koleksi situs SharePoint tertentu dengan menggunakan parameter pengumpulan situs –Scope. Parameter Scope menerima pilihan berikut. Pilih Cakupan yang paling sesuai untuk konfigurasi SharePoint Anda.

    • site. Memberi izin aplikasi keterlibatan pelanggan ke situs SharePoint tertentu saja. Itu tidak memberikan izin untuk setiap subsite di bawah situs bernama.
      • sitecollection. Memberi izin aplikasi keterlibatan pelanggan untuk semua situs web dan subsite dalam koleksi situs SharePoint tertentu.
      • sitesubscription. Memberi izin aplikasi keterlibatan pelanggan untuk semua situs web di farm SharePoint, subsite ,termasuk semua koleksi situs, Situs Web, dan subsite.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Tetapkan jenis pemetaan otentikasi berdasarkan klaim.

    Penting

    Secara default, pemetaan otentikasi berdasarkan klaim akan menggunakan alamat email akun Microsoft pengguna dan Alamat email kerja SharePoint on-premises untuk pemetaan. Ketika Anda menggunakan ini, alamat email pengguna harus cocok antara kedua sistem. Untuk informasi lebih lanjut, lihat Memilih jenis pemetaan otentikasi berdasarkan klaim.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Jalankan wizard Integrasi SharePoint Berbasis Server

Ikuti langkah berikut:

  1. Pastikan Anda memiliki izin yang sesuai untuk menjalankan wizard. Informasi lebih lanjut, lihat Izin yang diperlukan

  2. Buka Pengaturan>Manajemen Dokumen.

  3. Dalam area manajemen dokumen, klik Aktifkan integrasi SharePoint Berbasis Server.

  4. Tinjau informasi, kemudian klik Berikutnya.

  5. Untuk situs SharePoint, klik lokal, dan kemudian klik berikutnya.

  6. Masukkan URL koleksi situs lokal SharePoint, seperti https://sharepoint.contoso.com/sites/crm. Situs harus dikonfigurasi untuk SSL.

  7. Klik Berikutnya.

  8. Bagian validasi situs muncul. Jika semua situs dinyatakan berlaku, klik Aktifkan. Jika satu atau beberapa situs yang ditentukan tidak valid, lihat mengatasi masalah otentikasi berbasis server.

Pilih entitas yang Anda inginkan untuk disertakan dalam Manajemen Dokumen

Secara default, akun, artikel, prospek, produk, kuotasi, dan entitas literatur penjualan juga disertakan. Anda dapat menambahkan atau menghapus entitas yang akan digunakan untuk manajemen dokumen dengan SharePoint di pengaturan manajemen dokumen. Buka Pengaturan>Manajemen Dokumen. Informasi lebih lanjut: Mengaktifkan manajemen dokumen di entitas

Tambahkan OneDrive untuk integrasi bisnis

Setelah Anda menyelesaikan aplikasi keterlibatan pelanggan dan SharePoint dan konfigurasi Otentikasi berbasis server SharePoint lokal, Anda juga dapat mengintegrasikan OneDrive for Business. Dengan integrasi aplikasi keterlibatan pelanggan dan OneDrive for Business, Pengguna dapat membuat dan mengelola dokumen pribadi dengan OneDrive for Business. Dokumen-dokumen tersebut dapat diakses setelah administrator sistem mengaktifkan OneDrive for Business.

Aktifkan OneDrive for Business

Pada Windows Server di mana SharePoint Server on-premises berjalan, buka SharePoint Management Shell dan jalankan perintah berikut.

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Memilih jenis pemetaan otentikasi berdasarkan klaim

Secara default, pemetaan otentikasi berdasarkan klaim akan menggunakan alamat email akun Microsoft pengguna dan Alamat email kerja SharePoint on-premises untuk pemetaan. Perhatikan bahwa, apa pun jenis otentikasi berdasarkan klaim yang Anda gunakan, nilai-nilai, seperti alamat email, harus cocok antara aplikasi keterlibatan pelanggan dan SharePoint. Sinkronisasi direktori Microsoft 365 dapat membantu ini. informasi lebih lanjut: Menyebarkan sinkronisasi direktori Microsoft 365 di Microsoft Azure Untuk menggunakan jenis pemetaan otentikasi berdasarkan klaim yang berbeda, lihat mendefinisikan pemetaan klaim kustom untuk integrasi SharePoint berbasis server.

Penting

Untuk mengaktifkan properti email pekerjaan, SharePoint lokal harus telah mengonfigurasikan dan memulai aplikasi layanan profil pengguna. Untuk mengaktifkan aplikasi Layanan profil pengguna di SharePoint, lihat membuat, mengedit, atau menghapus aplikasi Layanan profil pengguna di SharePoint Server 2013. Untuk membuat perubahan ke properti pengguna, seperti email kerja, lihat mengedit properti profil pengguna. Untuk informasi lebih lanjut tentang aplikasi Layanan profil pengguna, lihat Gambaran umum aplikasi Layanan profil pengguna di SharePoint Server 2013.

Lihat juga

Mengatasi masalah otentikasi berbasis server
Mengonfigurasikan SharePoint dengan aplikasi keterlibatan pelanggan