Compartilhar via

Configurar a autenticação baseada em servidor com o SharePoint local

  • Artigo

A integração baseada em servidor do SharePoint para gerenciamento de documentos pode ser usada para conectar aplicativos do Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing e Dynamics 365 Project Service Automation), com o SharePoint local. Ao usar a autenticação baseada no servidor, os Serviços de Domínio do Microsoft Entra são usados como agente confiável e os usuários não precisam entrar no SharePoint.

Permissões necessárias

As seguintes associações e privilégios são necessários para habilitar o gerenciamento de documento do SharePoint.

  • Microsoft 365 Associação de administrador global - isso é necessário para:

    • Acesso de nível administrativo à subscrição Microsoft 365.
    • Executando Habilitação do assistente para Autenticação baseada no Servidor.
    • Executando os cmdlets do AzurePowerShell.

  • Privilégio do Power Apps Executar Assistente de Integração do SharePoint. Isso é necessário para executar o assistente de Habilitar a Autenticação Baseada em Servidor.

    Por padrão, o direito de acesso Administrador do Sistema tem esse privilégio.

  • Para integração local do SharePoint, associação ao grupo de Administradores do grupo do SharePoint. É necessário para executar a maioria dos comandos do PowerShell no servidor do SharePoint.

Configurar a autenticação de servidor para servidor com o SharePoint local

Siga as etapas na ordem apresentada para configurar os aplicativos de engajamento do cliente com o SharePoint 2013 local.

Importante

As etapas descritas a seguir devem ser realizadas na ordem apresentada. Se uma tarefa não for concluída, como um comando do PowerShell que retorne uma mensagem de erro, o problema deverá ser solucionado antes de você prosseguir para o próximo comando, tarefa ou etapa.

Verificar os pré-requisitos

Para configurar os aplicativos do Customer Engagement e SharePoint local para a autenticação baseada em servidor, os pré-requisitos a seguir devem ser atendidos:

Pré-requisitos do SharePoint

  • SharePoint 2013 (local) com Service Pack 1 (SP1) ou versão posterior

    Importante

    As versões do SharePoint Foundation 2013 não têm suporte para uso com o gerenciamento de documentos dos aplicativos do Customer Engagement.

  • Instale a atualização cumulativa (CU) de abril de 2019 para a família de produtos SharePoint 2013. Essa CU de abril de 2019 inclui todas as correções do SharePoint 2013 (incluindo todas as correções de segurança do SharePoint 2013) lançadas desde o SP1. A CU de abril de 2019 não inclui o SP1. Você precisará instalar o SP1 antes de instalar a CU de abril de 2019. Mais informações: KB4464514 SharePoint Server 2013 abril 2019 CU

  • Configuração do SharePoint

    • Se você usar o SharePoint 2013 para cada unidade do SharePoint, apenas uma organização do aplicativo de engajamento do cliente poderá ser configurada para integração baseada em servidor.

    • O site do SharePoint deve estar acessível pela Internet. Um proxy reverso também pode ser necessário para a autenticação do SharePoint. Mais informações: Configurar um dispositivo de proxy reverso para um híbrido do SharePoint Server 2013

    • O site do SharePoint deve ser configurado para usar SSL (HTTPS) na porta TCP 443 (não há suporte para portas personalizadas) e o certificado deve ser emitido por uma Autoridade de Certificação de raiz pública. Mais informações: SharePoint: sobre certificados do SSL de Canal Seguro

    • Uma propriedade de usuário confiável para uso para mapeamento da autenticação baseada em declarações entre o SharePoint e os aplicativos do Customer Engagement. Mais informações: Selecionando um tipo de mapeamento de declarações

    • Para o compartilhamento de documentos, o serviço de pesquisa do SharePoint deve estar habilitado. Mais informações: Criar e configurar um aplicativo de serviço de Pesquisa no SharePoint Server

    • Para a funcionalidade de gerenciamento de documentos ao usar os aplicativos móveis do Dynamics 365, o servidor do SharePoint local deve estar disponível na Internet.

Outros pré-requisitos

  • SharePoint, licença online. A autenticação local baseada em servidor dos aplicativos do Customer Engagement para SharePoint deve ter o SPN (nome da entidade de serviço) do SharePoint registrado no Microsoft Entra ID. Para conseguir isso, pelo menos uma licença de usuário online do SharePoint é necessária. A licença do SharePoint online pode derivar de uma única licença de usuário e costuma ser obtida da seguinte forma:

    • Uma assinatura do SharePoint Online. Qualquer plano do SharePoint online é suficiente, mesmo que a licença não seja atribuída a um usuário.

    • Uma assinatura do Microsoft 365 que inclua o SharePoint online. Por exemplo, se tiver o Microsoft 365 E3, você terá o licenciamento adequado, mesmo que a licença não seja atribuída a um usuário.

      Para obter mais informações sobre esses planos, consulte Encontrar a solução certa para você e Comparar opções do SharePoint

  • Os seguintes recursos de software são necessários para a execução dos cmdlets do PowerShell descritos neste tópico.

    • Assistente do Microsoft Online Services para os profissionais de TI Beta

    • MSOnlineExt

    • Para instalar o módulo do MSOnlineExt, insira o seguinte comando em uma sessão PowerShell de administrador. PS> Install-Module -Name "MSOnlineExt"

    Importante

    No momento em que este documento estava sendo escrito, havia um problema com a versão RTW do Assistente de Entrada do Microsoft Online Services para Profissionais de TI. Quando o problema for resolvido, será recomendável usar a versão Beta. Mais informações: Fóruns do Microsoft Azure: Não é Possível instalar o Módulo do Microsoft Entra para Windows PowerShell. O MOSSIA não está instalado.

  • Um tipo de mapeamento da autenticação baseada em declarações adequado ao uso de identidades de mapeamento entre os aplicativos do Customer Engagement e o SharePoint local. Por padrão, o endereço de email é usado. Mais informações: Conceder permissão aos aplicativos do Customer Engagement para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações

Atualizar o SPN do Servidor do SharePoint nos Serviços de Domínio do Microsoft Entra

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.

  1. Prepare a sessão do PowerShell.

    Os cmdlets a seguir permitem que o computador receba comandos remotos e adicionam módulos do Microsoft 365 à sessão do PowerShell. Para obter mais informações sobre esses cmdlets, consulte Cmdlets fundamentais do Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Conecte-se ao Microsoft 365.

    Ao executar o comando Connect-MsolService, você deverá fornecer uma conta Microsoft válida que tenha associação do administrador Global do SharePoint Online para a licença exigida.

    Para obter informações detalhadas sobre cada um dos comandos do PowerShell Microsoft Entra ID listados aqui, consulte Gerenciar Microsoft Entra usando Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Defina o nome de host do SharePoint.

    O valor a ser definido para a variável HostName deve ser o nome de host completo do conjunto de sites do SharePoint. O nome de host deve derivar do URL do conjunto de sites e fazer distinção entre maiúsculas e minúsculas. Neste exemplo, a URL do conjunto de sites é <https://SharePoint.constoso.com/sites/salesteam>, então o nome do host é SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Obtenha a id (locatário) do objeto do Microsoft 365 e o SPN (Nome da Entidade de Serviço) do servidor do SharePoint.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Defina o Nome da Entidade de Serviço do Servidor do SharePoint no Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Após a conclusão desses comandos, não feche o Shell de Gerenciamento do SharePoint 2013 e continue na próxima etapa.

Atualize o realm do SharePoint para corresponder àquele do SharePoint On-line

No servidor local do SharePoint, no Shell de Gerenciamento do SharePoint 2013, execute este comando do Windows PowerShell.

O comando a seguir exige a associação de administrador de farm do SharePoint e define o realm de autenticação do farm do SharePoint local.

Cuidado

A execução deste comando altera o realm de autenticação do farm do SharePoint local. Para aplicativos que usam um STS (serviço de token de segurança) existente, isso poderá causar um comportamento inesperado com outros aplicativos que usem tokens de acesso. Mais informações: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Criar um emissor de token de segurança confiável para o Microsoft Entra ID no SharePoint

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.

Os comandos a seguir exigem a associação de administrador de farm do SharePoint.

Para obter informações detalhadas sobre esses comandos do PowerShell, consulte Usar cmdlets do Windows PowerShell para administrar segurança no SharePoint 2013.

  1. Habilite a sessão do PowerShell para fazer alterações no serviço de token de segurança para o farm do SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Defina o ponto de extremidade dos metadados.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Criar o novo proxy de aplicativo do serviço de controle de token no Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Observação

    O comando New- SPAzureAccessControlServiceApplicationProxy pode retornar uma mensagem de erro informando que um proxy de aplicativo com o mesmo nome já existe. Se o proxy de aplicativos chamado já existir, você poderá ignorar o erro.

  4. Crie o novo emissor do serviço de controle de token no SharePoint local para o Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Conceder permissão aos aplicativos do Customer Engagement para acessar o SharePoint e configurar o mapeamento da autenticação baseada em declarações

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint 2013, execute estes comandos do PowerShell na ordem determinada.

Os comandos a seguir exigem a associação de administração de conjunto de sites do SharePoint.

  1. Registre os aplicativos do Customer Engagement no conjunto de sites do SharePoint.

    Insira a URL do conjunto de sites do SharePoint local. Neste exemplo, https://sharepoint.contoso.com/sites/crm/ é usado.

    Importante

    Para concluir esse comando, o Proxy de Aplicativo de Serviço de Gerenciamento de Aplicativos do SharePoint deverá existir e estar em execução. Para obter mais informações sobre como iniciar e configurar o serviço, consulte o subtópico Definir as Configurações de Assinatura e os Aplicativos de Serviço de Gerenciamento de Aplicativos em Configurar um ambiente para aplicativos do SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Conceda aos aplicativos do Customer Engagement acesso ao SharePoint local. Substitua https://sharepoint.contoso.com/sites/crm/ por seu URL do site do SharePoint.

    Nota

    No exemplo a seguir, é concedida permissão ao aplicativo do Customer Engagement para o conjunto de sites do especificado SharePoint usando o parâmetro de conjunto de sites –Scope. O parâmetro de escopo aceita as seguintes opções. Escolha o escopo que seja mais apropriado para sua configuração do SharePoint.

    • site. Concede aos aplicativos do Customer Engagement permissão somente ao site especificado do SharePoint. Não concede permissão a nenhum subsite no site nomeado.
      • sitecollection. Concede permissão aos aplicativos do Customer Engagement para todos os sites e subsites dentro do conjunto de sites especificado do SharePoint.
      • sitesubscription. Concede a permissão dos aplicativos do Customer Engagement para todos os sites na farm do SharePoint, incluindo todos os conjuntos de sites, os sites e os subsites.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Defina o tipo de mapeamento de autenticação baseada em declarações.

    Importante

    Por padrão, o mapeamento de autenticação baseado em declarações usará o endereço de email da conta Microsoft e do usuário do endereço de email de trabalho local do SharePoint para mapeamento. Quando você usar isso, os endereços de email do usuário deverão corresponder entre os dois sistemas. Para obter mais informações, consulte Selecionar um tipo de mapeamento de autenticação baseado em declarações.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Executar o assistente Habilitar integração do SharePoint baseada em servidor

Siga as etapas a seguir:

  1. Verifique se você tem a permissão apropriada para executar o assistente. Mais informações: Permissões necessárias

  2. Vá para Configurações>Gerenciamento de Documentos.

  3. Na área Gerenciamento de Documentos, clique em Habilitar integração do SharePoint baseada no servidor.

  4. Analise as informações e clique em Avançar.

  5. Para os locais do SharePoint, clique em Locais e, em seguida, em Avançar.

  6. Insira a URL do conjunto de sites do SharePoint, por exemplo, https://sharepoint.contoso.com/sites/crm. O site já deverá estar configurado para SSL.

  7. Clique em Avançar.

  8. A seção para validar sites aparece. Se todos os sites forem determinados como válidos, clique em Habilitar. Se um ou mais locais são determinados válidos, consulte Solução de problemas da autenticação baseada no servidor.

Selecionar as entidades que você deseja incluir no gerenciamento de documentos

Por padrão, as entidades Conta, Artigo, Lead, Produto, Cotação e Especificações são incluídas. Você pode adicionar ou remover as entidades que serão usadas para gerenciamento de documentos com o SharePoint em Configurações de Gerenciamento de Documentos. Vá para Configurações>Gerenciamento de Documentos. Mais informações: Habilitar o gerenciamento de documentos em entidades

Adicionar a integração com o OneDrive for Business

Depois de concluir os aplicativos do Customer Engagement e a configuração de autenticação baseada em servidor local do SharePoint, você também pode integrar o OneDrive for Business. Com a integração do OneDrive de negócios e dos aplicativos do Customer Engagement, os usuários podem criar e gerenciar documentos privados usando o OneDrive for Business. Esses documentos podem ser acessados uma vez que o administrador do sistema tiver habilitado o OneDrive for Business.

Habilitar o OneDrive for Business

No Windows Server onde o SharePoint Server local está sendo executado, abra o Shell de Gerenciamento do SharePoint e execute os comandos a seguir:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Selecionando um tipo de mapeamento de autenticação baseada em declarações

Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de email da conta Microsoft e do usuário do endereço de email de trabalho local do SharePoint para mapeamento. Observe que, seja qual for o tipo de autenticação baseada em declarações usado, os valores, como endereços de email, devem ser iguais nos aplicativos de envolvimento de clientes e no SharePoint. A sincronização de diretório do Microsoft 365 pode ajudar. Mais informações: Implantar a Sincronização de Diretório do Microsoft 365 no Microsoft Azure. Para usar um tipo diferente de mapeamento da autenticação baseada em declarações, consulte Definir mapeamento de declarações personalizadas para integração baseada em servidor com o SharePoint.

Importante

Para habilitar a propriedade Email de trabalho, o SharePoint local deverá ter um Aplicativo de Serviço de Perfil de Usuário configurado e iniciado. Para habilitar um Aplicativo de Serviço de Perfil de Usuário no SharePoint, consulte Criar, editar ou excluir aplicativos de serviço de Perfil de Usuário no SharePoint Server 2013. Para fazer alterações em uma propriedade de usuário, como Email de trabalho, consulte Editar uma propriedade de perfil de usuário. Para obter mais informações sobre o Aplicativo de Serviço de Perfil de Usuário, consulte Visão geral do aplicativo de serviço Perfil de Usuário no SharePoint Server 2013.

Consulte também

Solução de problemas de autenticação baseada em servidor
Configurar a integração do SharePoint com aplicativos do Customer Engagement