Konfigurowanie uwierzytelniania opartego na serwerze z użyciem lokalnego programu SharePoint

Oparta na serwerze integracja SharePoint do zarządzania dokumentami może służyć do łączenia aplikacji angażujących klientów (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation) z lokalnym SharePoint. Podczas korzystania z uwierzytelniania opartego na serwerze Usługi domenowe Microsoft Entra są używane jako pośrednik zaufania, więc użytkownicy nie muszą się logować w SharePoint.

Wymagane uprawnienia

Do włączenia zarządzania dokumentami SharePoint są wymagane następujące członkostwo i uprawnienia.

• Microsoft 365 Członkostwo w administratorze globalnym — jest to wymagane w przypadku:

  • Dostęp do subskrypcji na poziomie administracyjnym Microsoft 365.
  • Uruchomienie kreatora Włącz uwierzytelnianie oparte na serwerze.
  • Uruchamianie cmdlet AzurePowerShell.

• Uprawnienie Power Apps Uruchom kreator integracji SharePoint. Jest to wymagane do uruchomienia Kreatora uwierzytelniania opartego na serwerze.

  Domyślnie rola zabezpieczeń Administrator systemu ma to uprawnienie.

• W przypadku integracji SharePoint lokalnie, członkostwo w grupie SharePoint Farm Administrators. To jest wymagane do uruchamiania większości poleceń PowerShell na serwerze SharePoint.

Konfigurowanie uwierzytelniania między serwerami z użyciem lokalnego programu SharePoint

Wykonaj kroki w podanej kolejności, aby skonfigurować aplikacje zaangażowania klientów z SharePoint 2013 w wersji lokalnej.

Ważne

Kroki opisane w tym miejscu należy realizować w podanej kolejności. Jeśli zadanie nie zostanie ukończone, jak polecenie PowerShell, które zwraca komunikat o błędzie, problem musi zostać rozwiązany przed przejściem do następnego polecenia, zadania lub kroku.

Sprawdź wymagania wstępne

Przed skonfigurowaniem aplikacji angażujących klientów i SharePoint lokalnie na potrzeby uwierzytelniania na serwerze należy spełnić następujące wymagania wstępne:

Wymagania wstępne SharePoint

• SharePoint 2013 (wersja lokalna) z dodatkiem Service Pack 1 (SP1) lub nowszym

  Ważne

  Wersje programu SharePoint Foundation 2013 nie są obsługiwane do użytku z aplikacjami do zarządzania dokumentami.

• Zainstaluj aktualizację zbiorczą z kwietnia 2019 (CU) dla rodziny produktów SharePoint 2013. Aktualizacja zbiorcza z kwietnia 2019 roku obejmuje wszystkie poprawki SharePoint 2013 (w tym wszystkie poprawki zabezpieczeń SharePoint 2013) wydane od momentu premiery SP1. Aktualizacja zbiorcza z kwietnia 2019 roku nie zawiera dodatku SP1. Przed rozpoczęciem instalacji aktualizacji zbiorczej z 2019 roku należy zainstalować dodatek SP1. Więcej informacji: Aktualizacja zbiorcza z kwietnia 2019 r. KB 4464514 SharePoint Server 2013

• Konfiguracja rozwiązania SharePoint

  • Jeśli używasz SharePoint 2013, dla każdej farmy SharePoint, tylko jedna organizacja zaangażowania klientów może być konfigurowana do integracji opartej na serwerze.

  • Witryna SharePoint musi być dostępna przez Internet. Wsteczny serwer proxy może być również wymagany dla uwierzytelniania SharePoint. Więcej informacji: Konfigurowanie urządzenia wstecznego serwera proxy dla hybrydowego programu SharePoint Server 2013

  • Witryna SharePoint musi być skonfigurowana do używania protokołu SSL (HTTPS) na porcie TCP 443 (porty niestandardowe nie są obsługiwane), a certyfikat musi zostać wydany przez publiczny główny urząd certyfikacji. Więcej informacji: SharePoint: Informacje o certyfikatach bezpiecznego kanału SSL

  • Wiarygodny użytkownik do użycia dla mapowania uwierzytelniania opartego na oświadczeniach między SharePoint i aplikacjami zaangażowania klientów. Więcej informacji: Wybór typu mapowania oświadczenia

  • Aby umożliwić udostępnianie dokumentów musi być włączona usługa wyszukiwania programu SharePoint. Więcej informacji: Tworzenie i konfigurowanie aplikacji usługi Wyszukiwania w SharePoint Server

  • Dla funkcji zarządzania dokumentami przy użyciu aplikacji mobilnych usługi Dynamics 365 lokalny serwer SharePoint musi być dostępny przez Internet.

Inne wymagania wstępne

• Licencja SharePoint Online. Aplikacje angażujące klientów do lokalnego uwierzytelniania w usłudze SharePoint opartego na serwerze muszą mieć zarejestrowaną nazwę główną usługi SharePoint (SPN)zarejestrowaną w tożsamości Microsoft Entra. Aby to osiągnąć wymagana jest co najmniej jedna licencja użytkownika SharePoint Online. Licencja SharePoint Online może pochodzić od licencji dla pojedynczego użytkownika i zazwyczaj pochodzi od jednej z poniższych:

  • Subskrypcja SharePoint Online. Wystarczy dowolny plan SharePoint Online, nawet jeśli licencja nie została przypisana do użytkownika.

  • Subskrypcja Microsoft 365, która zawiera SharePoint Online. Na przykład, jeśli masz Microsoft 365 E3, masz odpowiednią licencję, nawet jeśli nie została ona przypisana do użytkownika.

    Aby uzyskać więcej informacji na temat tych planów, zobacz Znajdź odpowiednie rozwiązanie dla siebie i Porównaj opcje SharePoint

• Następujące funkcje oprogramowania są wymagane do uruchomienia poleceń cmdlet PowerShell opisanych w tym temacie.

  • Microsoft Asystent logowania do usług online dla specjalistów IT w wersji beta

  • MSOnlineExt

  • Aby zainstalować moduł MSOnlineExt, wprowadź następujące polecenie z sesji administratora PowerShell. PS> Install-Module -Name "MSOnlineExt"

  Ważne

  W chwili pisania tego tekstu występuje problem z wersją Microsoft RTW Asystenta logowania do usług online dla specjalistów IT. Do momentu rozwiązania problemu zalecamy korzystanie z wersji Beta. More information: Microsoft Azure Fora: Nie można zainstalować modułu Microsoft Entra dla Windows PowerShell. Nie zainstalowano MOSSIA.

• Odpowiedni typ mapowania uwierzytelniania opartego na oświadczeniach, który ma być używany do mapowania tożsamości między aplikacjami angażującymi klientów a SharePoint on-premises. Domyślnie używany jest adres e-mail. Więcej informacji: Przyznaj aplikacjom zaangażowania klientów uprawnienia do dostępu do SharePoint i skonfiguruj mapowanie uwierzytelniania opartego na oświadczeniach

Aktualizowanie usług domenowych SharePoint Server SPN Microsoft Entra

Na lokalnym serwerze SharePoint, w powłoce zarządzania SharePoint 2013 uruchom te polecenia PowerShell w podanej kolejności.

1. Przygotuj sesję PowerShell.

   Następujące polecenia cmdlet umożliwiają komputerowi odbieranie poleceń zdalnych i dodawanie modułów Microsoft 365 do sesji PowerShell. Aby uzyskać więcej informacji na temat poleceń cmdlets, zobacz Podstawowe polecenia cmdlet programu Windows PowerShell.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Połącz z Microsoft 365.

   Po uruchomieniu polecenia Connect-MsolService należy podać prawidłowe Microsoft konto z członkostwem administratora globalnego dla wymaganej SharePoint licencji online.

   Aby uzyskać szczegółowe informacje na temat poszczególnych poleceń identyfikatora Microsoft Entra w PowerShell wymienionych tutaj, zobacz zarządzanie Microsoft Entra przy użyciu Windows PowerShell

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Skonfiguruj nazwę hosta SharePoint.

   Wartość ustawiana dla zmiennej HostName musi być pełną nazwą hosta zbioru witryn SharePoint. Nazwa hosta musi pochodzić z adresu URL zbioru witryn. Wielkość użytych w niej liter jest ważna. W tym przykładzie adres URL zbioru witryn to <https://SharePoint.constoso.com/sites/salesteam>, więc nazwa hosta to SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Pobierz identyfikator obiektu (najemcy) Microsoft 365 i główną nazwę usługi Server Service Principal Name (SPN) SharePoint.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Ustaw nazwę główną usługi serwera SharePoint (SPN) w usłudze tożsamości Microsoft Entra.

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Po zakończeniu tych poleceń nie zamykaj powłoki zarządzania programu SharePoint 2013 i przejdź do następnego kroku.

Zaktualizuj obszar SharePoint, aby był on zgodny z SharePoint Online

Na lokalnym serwerze SharePoint, w powłoce zarządzania SharePoint 2013 uruchom to polecenie Windows PowerShell.

Poniższe polecenie wymaga członkostwa administratora farmy SharePoint i konfiguruje obszar uwierzytelniania lokalnej farmy SharePoint.

Uwaga

Uruchomienie tego polecenia zmienia obszar uwierzytelniania lokalnej farmy SharePoint. W przypadku aplikacji, które używają istniejącej usługi tokenu zabezpieczającego (STS), może to spowodować nieoczekiwane zachowania z innymi aplikacjami, które używają tokenów dostępu. Więcej informacji: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Utworzenie zaufanego wystawcy tokena zabezpieczającego dla Microsoft Entra ID na stronie SharePoint

Na lokalnym serwerze SharePoint, w powłoce zarządzania SharePoint 2013 uruchom te polecenia PowerShell w podanej kolejności.

Następujące polecenia wymagają członkostwa administratorów farmy SharePoint.

Aby uzyskać szczegółowe informacje o tych poleceniach PowerShell, zobacz Użyj poleceń cmdlets środowiska Windows PowerShell do administrowania zabezpieczeniami w SharePoint 2013.

1. Włącz sesję PowerShell, aby wprowadzić zmiany w usłudze tokenu zabezpieczającego dla farmy SharePoint.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Ustaw punkt końcowy metadanych.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Utwórz nowy serwer proxy aplikacji usługi kontroli tokenów za pomocą tożsamości Microsoft Entra.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Uwaga

   Polecenie New- SPAzureAccessControlServiceApplicationProxy może zwrócić komunikat o błędzie wskazujący, że serwer proxy aplikacji o tej samej nazwie już istnieje. Jeśli serwer proxy aplikacji o tej nazwie już istnieje, możesz zignorować ten błąd.

4. Utwórz nowego wystawcę usługi kontroli tokenów lokalnie w SharePoint zamiast usługi tożsamości Microsoft Entra.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Przyznaj aplikacjom zaangażowania klientów uprawnienia do dostępu do SharePoint i skonfiguruj mapowanie uwierzytelniania opartego na oświadczeniach

Na lokalnym serwerze SharePoint, w powłoce zarządzania SharePoint 2013 uruchom te polecenia PowerShell w podanej kolejności.

Następujące polecenia wymagają członkostwa administratorów zbioru witryn SharePoint.

1. Zarejestruj aplikacje zaangażowania klientów ze zbiorem witryn SharePoint.

   Wprowadź adres URL zbioru witryn lokalnych SharePoint. W tym przykładzie https://sharepoint.contoso.com/sites/crm/ jest używany.

   Ważne

   Aby ukończyć to polecenie, musi istnieć i działać serwer proxy aplikacji zarządzania aplikacji SharePoint. Aby uzyskać więcej informacji dotyczących sposobu uruchamiania i konfigurowania usługi, zobacz Konfigurowanie ustawień subskrypcji oraz podtemat Aplikacje usługi zarządzania aplikacją w Konfigurowanie środowiska dla aplikacji dla SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Udziel użytkownikowi uprawnień do korzystania z aplikacji pozyskiwanie klientów SharePoint. Zastąp https://sharepoint.contoso.com/sites/crm/ własnym adresem URL witryny SharePoint.

   Uwaga

   W poniższym przykładzie aplikacja angażująca klienta otrzymuje uprawnienia do określonego zbioru witryn SharePoint przy użyciu parametru –Zakres zbioru witryn. Parametr Zakres akceptuje następujące opcje. Wybierz zakres najbardziej odpowiedni dla Twojej konfiguracji SharePoint.

   • site. Przyznaje uprawnienia aplikacji angażujących klientów tylko do określonej witryny sieci Web SharePoint. Nie udziela uprawnień do żadnych podwitryn witryny.
     • sitecollection. Przyznaje uprawnienia aplikacji angażujących klientów do wszystkich witryn internetowych i podwitryn w określonym zbiorze witryn SharePoint.
     • sitesubscription. Przyznaje uprawnienia aplikacji angażujących klientów do wszystkich witryn w farmie SharePoint, w tym do wszystkich zbiorów witryn, witryn internetowych i podwitryn.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Ustaw typ mapowania uwierzytelniania opartego na oświadczeniach.

   Ważne

   Domyślnie mapowanie uwierzytelniania opartego na oświadczeniach będzie używać adresu e-mail konta użytkownika Microsoft i lokalnego SharePoint służbowego adresu e-mail użytkownika do mapowania. Jeśli tego używasz, adresy e-mail użytkownika w obu systemach muszą być zgodne. Aby uzyskać więcej informacji, zobacz Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Uruchom Włącz oparty na serwerze kreator integracji z SharePoint

Wykonaj te kroki:

1. Należy sprawdzić, czy użytkownik ma odpowiednie uprawnienia do uruchomienia kreatora. Więcej informacji: Wymagane uprawnienia

2. Wybierz kolejno pozycje Ustawienia>Zarządzanie dokumentami.

3. W obszarze Zarządzanie dokumentami kliknij Włącz opartą na serwerze integrację SharePoint.

4. Przejrzyj informacje, a następnie kliknij Dalej.

5. Dla witryn SharePoint kliknij Lokalne, a następnie kliknij Dalej.

6. Wprowadź adres URL zbioru witryn lokalnych SharePoint, taki jak https://sharepoint.contoso.com/sites/crm. Witryna musi być skonfigurowana dla protokołu SSL.

7. Kliknij przycisk Dalej.

8. Pojawia się sekcja sprawdzania poprawności witryny. Jeśli wszystkie witryny zostaną uznane za prawidłowe, kliknij Włącz. Jeśli jedna lub kilka witryn zostaną uznane za nieprawidłowe, zobacz Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze.

Wybierz encje, które chcesz dołączyć do zarządzania dokumentami

Domyślnie dołączone są encje takie jak Konto, Artykuł, Potencjalny klient, Produkt, Oferta i Materiały sprzedażowe. Możesz dodawać lub usuwać encje, które będą używane do zarządzania dokumentami z SharePoint, w Ustawienia zarządzania dokumentami. Wybierz kolejno pozycje Ustawienia>Zarządzanie dokumentami. Więcej informacji: Włączanie zarządzania dokumentami dla encji

Dodaj integrację OneDrive dla Firm

Po ukończeniu aplikacji angażujących klientów i SharePoint lokalnej konfiguracji uwierzytelniania na serwerze można również zintegrować OneDrive dla Firm. Dzięki aplikacjom angażującym klientów i integracji OneDrive dla Firm użytkownicy mogą tworzyć prywatne dokumenty i zarządzać nimi za pomocą OneDrive dla Firm. Dokumenty te są dostępne w ramach włączył OneDrive dla Firm.

Włącz usługę OneDrive dla Firm

W Windows Server, gdzie działa SharePoint Server (wersja lokalna) otwórz powłokę zarządzania SharePoint i uruchom poniższe polecenia:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Wybieranie typu mapowania uwierzytelniania opartego na oświadczeniach

Domyślnie mapowanie uwierzytelniania opartego na oświadczeniach będzie używać adresu e-mail konta użytkownika Microsoft i lokalnego służbowego adresu e-mail użytkownika SharePoint do mapowania. Pamiętaj, że niezależnie od używanego typu uwierzytelniania opartego na oświadczeniach wartości, takie jak adresy e-mail, muszą być zgodne między aplikacjami angażującymi klientów i SharePoint. Synchronizacja katalogów Microsoft 365 może w tym pomóc. Więcej informacji: Wdróż synchronizację katalogów Microsoft 365 w Microsoft Azure. Aby użyć innego typu mapowania uwierzytelniania opartego na oświadczeniach, zobacz Zdefiniuj niestandardowe mapowanie oświadczenia dla opartej na serwerze integracji SharePoint.

Ważne

Aby włączyć właściwość Służbowy adres e-mail, SharePoint w wersji lokalnej musi mieć skonfigurowaną i uruchomioną Aplikację obsługi profilu użytkownika. Aby włączyć Aplikację obsługi profilu użytkownika w SharePoint, zobacz Tworzenie, edytowanie lub usuwanie aplikacji obsługi profilu użytkownika w SharePoint Server 2013. Aby wprowadzić zmiany do właściwości użytkownika, takich jak Służbowy adres e-mail, zobacz Edytowanie właściwości profilu użytkownika. Aby uzyskać więcej informacji dotyczących Aplikacji obsługi profilu użytkownika, zobacz Omówienie aplikacji Obsługa profilu użytkownika w SharePoint Server 2013.

Zobacz także

Rozwiązywanie problemów z uwierzytelnianiem opartym na serwerze
Konfigurowanie SharePoint integracji z aplikacjami angażującymi klientów