Dynamics CRM Online 및 SharePoint 온-프레미스에서 서버 기반 인증 구성

 

게시 날짜: 2016년 11월

적용 대상: Dynamics CRM 2015

Microsoft Dynamics CRM Online 2015 업데이트 1에서 소개된 문서 관리에 대한 서버 기반 Microsoft SharePoint 통합은 이제 SharePoint 온-프레미스를 사용하여 Microsoft Dynamics CRM Online에 연결하는 데 사용할 수 있습니다. 서버 기반 인증을 사용하면 Azure Active Directory 액세스 제어 서비스(ACS)는 신뢰 브로커로 사용되며 SharePoint에 로그인할 필요가 없습니다. 또한 더 이상 사용되지 않는 SharePoint 샌드박스 기능은 필요한 목록 제어 Microsoft Dynamics 365 보기에서 SharePoint 문서를 표시하는 데 필요하지 않습니다.

사용 권한이 필요합니다.

Office 365

• Office 365 전역 관리자 구성원 자격.Microsoft Office 365를 구독하고 Microsoft AzurePowershell cmdlet을 실행하려면 관리 수준 액세스 권한이 필요합니다.

Microsoft Dynamics CRM Online

• SharePoint 통합 마법사 실행 권한.Microsoft Dynamics 365에서 서버 기반 인증 사용 마법사를 실행하는 데 필요합니다.

  기본적으로 시스템 관리자 보안 역할은 이 권한이 있습니다.

SharePoint 온-프레미스

• 팜 관리자 그룹 구성원.SharePoint 서버에서 대부분의 Powershell 명령을 실행하는 데 필요합니다.

CRM Online 및 SharePoint 온-프레미스를 사용하여 서버 간 인증 설정

SharePoint 2013 온-프레미스를 사용하여 CRM Online를 실행하기 위해 제공되는 순서로 단계를 수행합니다.

중요

여기에서 설명하는 단계는 제공된 순서로 완료해야 합니다. 오류 메시지를 반환하는 Powershell 명령 같은 작업이 완료되지 않은 경우 다음 명령, 작업 또는 단계를 계속하기 전에 문제를 해결해야 합니다.

필수 구성 요소 확인

서버 기반 인증을 위해 Microsoft Dynamics CRM Online 및 SharePoint 온-프레미스를 구성하기 전에 다음 전제 조건을 충족해야 합니다.

SharePoint 필수 구성 요소

• 서비스 팩 1(SP1) 이상 버전의 Microsoft SharePoint 2013(온-프레미스)

  중요

  Microsoft SharePoint Foundation 2013 버전은 Microsoft Dynamics 365 문서 관리 기능을 사용할 수 없습니다.

• SharePoint Foundation 2013용 핫픽스 KB2883081, 2014년 8월 12일(Sts-x-none.msp)

  중요

  다음 업데이트는 KB2883081의 전제 조건이며 필요할 수도 있습니다.

  • https://support2.microsoft.com/kb/2768000

  • https://support.microsoft.com/kb/2767999

  • https://support.microsoft.com/kb/2880963

• SharePoint 구성

  • SharePoint는 단일 팜 배포에 대해서만 구성해야 합니다.

  • SharePoint 웹 사이트는 인터넷을 통해 액세스할 수 있어야 합니다. 역방향 프록시는 SharePoint 인증에 필요할 수도 있습니다. 추가 정보: SharePoint Server 2013 하이브리드를 위한 역방향 프록시 장치 구성

  • SharePoint 웹 사이트는 SSL(HTTPS)을 사용하도록 구성해야 하며 인증서는 공용 루트 인증서 기관에서 발급되어야 합니다.추가 정보:SharePoint: 보안 채널 SSL 인증서 정보

  • SharePoint 및 Microsoft Dynamics 365 간에 클레임 기반 인증 매핑에 대해 신뢰할 수 있는 사용자 속성.추가 정보:클레임 기반 인증 매핑 유형 선택

기타 필수 조건

• SharePoint Online 라이선스.SharePoint 온-프레미스 서버 기반 인증에 대한 Microsoft Dynamics CRM Online은 SharePoint SPN(서비스 계정 이름)을 Azure Active Directory에 등록해야 합니다. 이를 위해 SharePoint Online 사용자 라이선스가 하나 이상 필요합니다.SharePoint Online 라이선스는 단일 사용자 라이선스에서 파생될 수 있으며 일반적으로 다음 중 하나에서 가져옵니다.

  • SharePoint Online 구독.SharePoint Online 계획은 라이선스가 사용자에게 할당되지 않은 경우에도 충분합니다.

  • SharePoint Online을 포함하는 Office 365 구독. 예를 들어 Office 365 E3가 있는 경우 라이선스가 사용자에게 할당되지 않은 경우에도 적절한 라이선스를 갖고 있는 것입니다.

  이러한 계획에 대한 자세한 내용은 Office 365: 계획 선택 및 SharePoint 옵션 비교를 참조하십시오.

• 다음 소프트웨어 기능은 이 항목에서 설명하는 Powershell cmdlet을 실행해야 합니다.

  • IT 전문가를 위한 Microsoft Online Services 로그인 도우미 베타

  • Windows PowerShell용 Azure Active Directory 모듈(64비트 버전)

  중요

  이 경고가 나타나면 IT 전문가용 Microsoft Online Services Sign-In Assistant의 RTW 버전에 문제가 있습니다. 문제가 해결될 때까지 베타 버전을 사용하는 것이 좋습니다.추가 정보:Microsoft Azure 포럼: Windows PowerShell용 Azure Active Directory 모듈을 설치할 수 없습니다. MOSSIA가 설치되지 않습니다.

• 매핑에 사용할 적절한 클레임 기반 인증 매핑 유형은 Microsoft Dynamics CRM Online 및 SharePoint 온-프레미스 간을 식별합니다. 기본적으로 전자 메일 주소가 사용됩니다.추가 정보:Microsoft Dynamics CRM 권한을 부여하여 SharePoint에 액세스하고 클레임 기반 인증 매핑을 구성

ACS에서 SharePoint Server SPN 업데이트

SharePoint 온-프레미스 서버의 SharePoint 2013 Management Shell에서 지정된 순서대로 Powershell 명령을 실행합니다.

1. Powershell 세션을 준비합니다.

   다음 cmdlet을 사용하면 컴퓨터에서 원격 명령을 받아 Office 365 모듈을 Powershell 세션에 추가할 수 있습니다. 이러한 cmdlet에 대한 자세한 내용은 Windows PowerShell 코어 Cmdlet을 참조하십시오.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExtended -force
   

2. Office 365에 연결합니다.

   Connect-MsolService 명령을 실행할 때 필요한 SharePoint Online 라이선스에 대해 Office 365 전역 관리자 구성원 자격이 있는 유효한 Microsoft 계정을 제공해야 합니다.

   여기에 나열된 각 Azure Active DirectoryPowershell 명령에 대한 자세한 내용은 MSDN: Windows PowerShell을 사용하여 Azure AD 관리를 참조하십시오.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

3. SharePoint 호스트 이름을 설정합니다.

   변수 HostName에 대해 설정된 값은 SharePoint 사이트 모음의 완전한 호스트 이름이어야 합니다. 호스트 이름은 사이트 모음 URL에서 파생되어야 하며 대/소문자를 구분합니다. 이 예제에서 사이트 모음 URL은 *https://SharePoint.constoso.com/sites/salesteam*이고 호스트 이름은 SharePoint.contoso.com입니다.

   $HostName = "SharePoint.contoso.com"
   

4. Office 365 개체(테넌트) id 및 SharePoint Server 서비스 사용자 이름(SPN)을 가져옵니다.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames
   

5. ACS에서 SharePoint Server 서비스 사용자 이름(SPN)을 설정합니다.

   $ServicePrincipalName.Add("$SPOAppId/$HostName") 
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
   

이러한 명령을 완료한 후 SharePoint 2013 Management Shell을 닫지 말고 다음 단계를 계속합니다.

SharePoint 영역을 SharePoint Online 영역과 일치하도록 업데이트

SharePoint 온-프레미스 서버의 SharePoint 2013 Management Shell에서 이 Windows PowerShell 명령을 실행합니다.

다음 명령은 SharePoint 팜 관리자 구성원 자격이 필요하며 SharePoint 온-프레미스 팜의 인증 영역을 설정합니다.

경고

이 명령을 실행하면 SharePoint 온-프레미스 영역의 인증 영역이 변경됩니다. 기존 보안 토큰 서비스(STS)를 사용하는 응용 프로그램의 경우 액세스 토큰을 사용하는 다른 응용 프로그램에서 예기치 않은 동작을 초래할 수 있습니다. 추가 정보: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

SharePoint에서 ACS에 대한 신뢰할 수 있는 보안 토큰 발급자 만들기

SharePoint 온-프레미스 서버의 SharePoint 2013 Management Shell에서 지정된 순서대로 Powershell 명령을 실행합니다.

다음 명령은 SharePoint 팜 관리자 구성원 자격이 필요합니다.

이러한 Powershell 명령에 대한 자세한 내용은 Windows PowerShell cmdlet을 사용하여 SharePoint 2013에서 보안 관리를 참조하십시오.

1. Powershell 세션을 활성화하여 SharePoint 팜에 대한 보안 토큰 서비스로 변경합니다.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. 메타데이터 끝점을 설정합니다.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
   

3. ACS에서 새로운 토큰 제어 서비스 응용 프로그램 프록시를 만듭니다.

   New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
   

   참고

   New- SPAzureAccessControlServiceApplicationProxy 명령은 같은 이름을 가진 ACS 응용 프로그램 프록시가 이미 있음을 나타내는 오류 메시지를 반환할 수 있습니다. 명명된 ACS 응용 프로그램 프록시가 이미 있는 경우 오류를 무시할 수 있습니다.

4. ACS에 대해 SharePoint 온-프레미스에서 새 토큰 제어 서비스 발급자 만들기

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
   

Microsoft Dynamics CRM 권한을 부여하여 SharePoint에 액세스하고 클레임 기반 인증 매핑을 구성

SharePoint 온-프레미스 서버의 SharePoint 2013 Management Shell에서 지정된 순서대로 Powershell 명령을 실행합니다.

다음 명령은 SharePoint 사이트 모음 관리 구성원 자격이 필요합니다.

1. SharePoint 사이트 모음에 Microsoft Dynamics 365를 등록합니다.

   SharePoint 온-프레미스 사이트 모음 URL을 입력합니다. 이 예제에서는 *https://sharepoint.contoso.com/sites/crm/*이 사용됩니다.

   중요

   이 명령을 완료하려면 SharePoint 앱 관리 서비스 응용 프로그램 프록시가 존재하고 실행 중이어야 합니다. 서비스를 시작하고 구성하는 방법에 대한 자세한 내용은 SharePoint(SharePoint 2013)용 앱을 위한 환경 구성에서 구독 설정 및 앱 관리 서비스 응용 프로그램 구성 하위 항목을 참조하십시오.

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
   

2. Microsoft Dynamics 365 응용 프로그램에 SharePoint 사이트에 대한 액세스 권한을 부여합니다.*https://sharepoint.contoso.com/sites/crm/*을 SharePoint 사이트 URL로 대체합니다.

   참고

   다음 예제에서 Dynamics 365 응용 프로그램에 –Scope 사이트 모음 매개 변수를 사용하여 지정된 SharePoint 사이트 모음에 권한이 부여됩니다. Scope 매개 변수는 다음 옵션을 허용합니다.SharePoint 구성에 가장 적합한 범위를 선택합니다.

   • site 지정된 SharePoint 사이트에만 Dynamics 365 응용 프로그램 사용 권한을 부여합니다. 명명된 사이트 아래의 모든 하위 사이트에는 권한이 부여되지 않습니다.

   • sitecollection 지정된 SharePoint 사이트 모음 내의 모든 웹 사이트 및 하위 사이트에 Dynamics 365 응용 프로그램 권한을 부여합니다.

   • sitesubscription 모든 사이트 모음, 웹 사이트 및 하위 사이트를 포함한 SharePoint 팜에 있는 모든 웹 사이트에 Dynamics 365 응용 프로그램 권한을 부여합니다.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
   

3. 클레임 기반 인증 매핑 유형을 설정합니다.

   중요

   기본적으로 클레임 기반 인증 매핑은 사용자의 Microsoft 계정 전자 메일 주소와 사용자의 SharePoint 온-프레미스 작업 전자 메일 주소를 매핑에 사용합니다. 이 방법을 사용하면 사용자의 전자 메일 주소가 두 시스템 간에 일치해야 합니다. 자세한 내용은 클레임 기반 인증 매핑 유형 선택을 참조하십시오.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

서버 기반 SharePoint 통합 사용 마법사 실행

Microsoft Dynamics 365 응용 프로그램에서 다음 단계를 수행합니다.

1. 설정 > 문서 관리로 이동합니다.

2. 문서 관리 영역에서 서버 기반 SharePoint 통합 활성화를 선택합니다.

3. 정보를 검토한 후 다음을 선택합니다.

4. SharePoint 사이트의 경우 온-프레미스를 선택한 후 다음을 클릭합니다.

5. SharePoint 온-프레미스 사이트 모음 URL(예: https://sharepoint.contoso.com/sites/crm)을 입력합니다. 사이트는 SSL에 대해 구성되어 있어야 합니다.

6. 다음을 선택합니다.

7. 유효성 검사 사이트 섹션이 나타납니다. 모든 사이트가 유효한 것으로 결정되면 활성화를 선택합니다. 하나 이상의 사이트가 유효하지 않은 것으로 결정되면 서버 기반 인증 문제 해결를 참조하십시오.

문서 관리에 포함하려는 엔터티 선택

기본적으로 거래처, 문서, 잠재 고객, 제품, 견적 및 영업 홍보 자료 엔터티가 포함 되어있습니다.Microsoft Dynamics 365의 문서 관리 설정에서 SharePoint와 함께 문서 관리에 사용할 엔터티를 추가하거나 제거할 수 있습니다.설정 > 문서 관리로 이동합니다.추가 정보:고객 센터: 엔터티에 문서 관리 활성화

클레임 기반 인증 매핑 유형 선택

기본적으로 클레임 기반 인증 매핑은 사용자의 Microsoft 계정 전자 메일 주소와 사용자의 SharePoint 온-프레미스 작업 전자 메일 주소를 매핑에 사용합니다. 사용하는 클레임 기반 인증 유형에 따라 전자 메일 주소 같은 값은 Microsoft Dynamics CRM Online 및 SharePoint 간에 일치해야 합니다.Office 365 디렉터리 동기화가 도움이 될 수 있습니다.추가 정보:Microsoft Azure에서 Office 365 디렉터리 동기화(DirSync) 배포 다른 유형의 클레임 기반 인증 매핑을 사용하려면 MSDN: SharePoint 서버 기반 통합을 위한 클레임 매핑 정의를 참조하십시오.

중요

작업 전자 메일 속성을 활성화하려면 SharePoint 온-프레미스는 사용자 프로필 서비스 응용 프로그램을 구성하고 시작해야 합니다.SharePoint에서 사용자 프로필 서비스 응용 프로그램을 활성화하려면 SharePoint Server 2013에서 사용자 프로필 서비스 응용 프로그램 만들기, 편집 또는 삭제를 참조하십시오. 작업 전자 메일 같은 사용자 속성을 변경하려면 사용자 프로필 속성 편집을 참조하십시오. 사용자 프로필 서비스 응용 프로그램에 대한 자세한 내용은 SharePoint Server 2013에서 사용자 프로필 서비스 응용 프로그램 개요를 참조하십시오.

참고 항목

서버 기반 인증 문제 해결
Microsoft Dynamics CRM과 SharePoint 통합 설치

© 2016 Microsoft Corporation. All rights reserved. 저작권 정보