Configurar autenticação baseada em servidor com Microsoft Dynamics 365 (local) e SharePoint locais

 

Publicado: fevereiro de 2017

Aplicável a: Dynamics 365 (on-premises), Dynamics CRM 2016

Este tópico descreve como configurar a integração baseada no servidor entre Dynamics 365 (local) e Microsoft SharePoint locais.

Neste tópico

Configurar integração baseada em servidor com o Dynamics 365 e o SharePoint

Adicionar integração do OneDrive for Business

Solução de problemas do Dynamics 365 Server (local) para a integração baseada em servidor do SharePoint Server local

Sobre mapeamento da autenticação baseada em declarações

Trabalhando com certificados digitais

Obter o ID de Realm SharePoint

Configurar integração baseada em servidor com o Dynamics 365 e o SharePoint

Siga as etapas na ordem apresentada para configurar o Dynamics 365 (local) com o Microsoft SharePoint Server local.

Importante

• Se uma tarefa não for concluída, por exemplo, se um comando PowerShell que retorne uma mensagem de erro, o problema deve ser solucionado antes de você prosseguir para o próximo comando, tarefa ou etapa.

• Depois que você permite a integração do SharePoint baseada em servidor, você não poderá reverter para o método de autenticação baseado em cliente anterior. Portanto, não é possível usar o Componente de Lista do Microsoft Dynamics CRM depois de configurar sua organização Dynamics 365 para a integração do SharePoint com base no servidor.

Verificar os pré-requisitos

Antes de configurar o Dynamics 365 (local) e o SharePoint local para a integração baseada em servidor, as permissões são necessárias e pré-requisitos a seguir são necessários.

Permissões necessárias

Microsoft Dynamics 365

• Direito de acesso do administrador do sistema - isso é necessário para executar Habilitar assistente de Integração com o SharePoint Baseada em Servidor em Microsoft Dynamics 365.

• Se estiver usando um certificado assinado automaticamente para fins de avaliação, você deve ter uma associação do grupo local de administradores no computador onde o Servidor do Microsoft Dynamics 365 está sendo executado.

SharePoint local

• Associação ao grupo Administradores de farm - é necessária para executar a maioria dos comandos do Windows PowerShell no servidor SharePoint.

Pré-requisitos do SharePoint

• Escolha uma das versões a seguir SharePoint:

  • SharePoint 2016 Local.

    Dica

    O Atualização de dezembro de 2016 para Dynamics 365 (online e local) é obrigatório para usar o SharePoint 2016 com o Dynamics 365 (local).Para obter mais informações:A atualização de dezembro de 2016 do Dynamics 365 (online e local)

  • Microsoft SharePoint 2013 Local com Service Pack 1 (SP1) ou versão posterior com as seguintes atualizações.

    • Hotfix KB2883081 para SharePoint Foundation 2013 12 de agosto de 2014 (Sts-x-none.msp)

    • As atualizações a seguir são pré-requisitos para o KB2883081 e também podem ser necessárias.

      • https://support2.microsoft.com/kb/2768000

      • https://support.microsoft.com/kb/2767999

      • https://support.microsoft.com/kb/2880963

• Configuração do SharePoint

  • O SharePoint deve ser configurado somente para uma implantação de farm único.

  • Para usar o mapeamento de autenticação baseada em declarações padrão, o domínio Active Directory onde o servidor SharePoint e servidor Microsoft Dynamics 365 estão localizados deve ser o mesmo ou o domínio onde o servidor SharePoint está localizado deve confiar no domínio onde Servidor do Microsoft Dynamics 365 está localizado. Mais Informações: Sobre mapeamento da autenticação baseada em declarações

  • O site SharePoint deve ser configurado para usar TLS/SSL (HTTPS) e o certificado deve ser emitido por uma Autoridade de Certificação de raiz pública.Para obter mais informações:SharePoint: Sobre certificados SSL de canal seguro

  • O Proxy de Aplicativo de Serviço de Gerenciamento de Aplicativos deve ser criado e iniciado.Para obter mais informações:Configure um ambiente para aplicativos do SharePoint

  • Um Aplicativo de Serviço de Perfil de Usuário deve ser configurado e iniciado.Para obter mais informações:Criar, editar ou excluir aplicativos de serviço de Perfil de Usuário no SharePoint Server 2013

  • Para o compartilhamento de documentos, o serviço de pesquisa do SharePoint deve estar habilitado.Para obter mais informações:Criar e configurar um aplicativo do serviço de pesquisa do SharePoint Server

  • Para a funcionalidade de gerenciamento de documentos para usar os Microsoft Dynamics 365, apps móveis do servidor SharePoint local deverá ser disponibilizado pela Internet.

  • Para permitir que os usuários a capacidade de criar bibliotecas de documentos SharePoint do Dynamics 365, as seguintes permissões são necessárias e configurações:

    • A conta do Active Directory do usuário do Dynamics 365 deve ser um membro do grupo de membros do site na coleção de sites SharePoint em que os documentos são armazenados.

    • Por padrão, o mapeamento de autenticação baseada em declarações usará o endereço de e-mail do Dynamics 365 do usuário e o endereço de e-mail de trabalho do SharePoint local para mapeamento. Quando você usar o mapeamento, os endereços de e-mail do usuário deverão corresponder entre os dois sistemas. Mais Informações: Sobre mapeamento da autenticação baseada em declarações

Outros pré-requisitos e limitações

• Certificados digitais X509 a serem usados para a autenticação baseada em servidor entre os servidores Servidor do Microsoft Dynamics 365 e o SharePoint. As chaves de certificado devem ter pelo menos a criptografia de 2048 bits. Na maioria dos casos esse certificado deve ser emitido por uma autoridade de certificação de confiança, mas para fins de avaliação você pode usar um certificado autoassinado.

• A identidade para pool de aplicativo do CRMAppPool deve ter acesso de leitura para certificado x509 que será usado para autenticação baseada em servidor com Servidor do Microsoft Dynamics 365 e o servidor SharePoint. Você pode usar o snap-in de certificados MMC para conceder acesso.

• Se você usar Microsoft SharePoint 2013 para cada farm SharePoint, apenas uma organização Microsoft Dynamics 365 pode ser configurada para integração baseada em servidor. Porém, você pode conectar-se a mais de uma organização do Microsoft Dynamics 365 para uma farm do servidor SharePoint 2016.

Preparar o Microsoft Dynamics 365 Server para integração baseada em servidor

O CertificateReconfiguration.ps1 é um script Windows PowerShell que instala um certificado para o repositório de certificados local, garante o acesso de identidade de Microsoft Dynamics 365 Serviço de Processamento Assíncrono para certificado e atualizados Servidor do Microsoft Dynamics 365 para usar o certificado.

Adicione o certificado entre servidores ao armazenamento de certificado local e base de dados de configuração do Microsoft Dynamics 365

1. Abra uma sessão de comando PowerShell em todos os servidores em que a função servidor completo do Servidor do Microsoft Dynamics 365 está instalada. Para outras implantações de função de servidor, onde você executa o cmdlet para instalar o certificado, dependem da versão do Microsoft Dynamics 365 que você tem.

   • Para a versão Service Pack de dezembro de 2016 para Microsoft Dynamics 365 (local) e versões anteriores, execute este comando em todos os servidores onde a função do Servidor de Aplicativos Web está sendo executada.

   • Para a versão Microsoft Dynamics CRM 2016 Service Pack 1 e versões anteriores, execute este comando em todos os servidores onde a função do Serviço Assíncrono está sendo executada.

2. Mude sua localização para a <unidade>: pasta\Program Files\Microsoft Dynamics CRM\Tools.

3. Execute o script CertificateReconfiguration.ps1 Windows PowerShell, conforme explicado aqui:

   • certificateFilepath\Personalcertfile.pfx. Parâmetro necessário que especifica o caminho completo do arquivo de troca de informações pessoais (.pfx). Mais Informações: Trabalhando com certificados digitais

   • passwordpersonal_certfile_password. Parâmetro exigido que especifica a senha do certificado privado.

   • certificateType S2STokenIssuer. Parâmetro exigido que especifica o tipo de certificado. Para integração baseada em servidor Microsoft Dynamics 365 e SharePoint, apenas S2STokenIssuer tem suporte.

   • serviceAccount ‘DomainName\UserName’ ou ‘Network Service’.

     • Para Service Pack de dezembro de 2016 para Microsoft Dynamics 365 (local) e versões posteriores:

       serviceAccount 'contoso\CRMWebAppServer' ou ‘Network Service’. Parâmetro necessário que especifica a identidade da função do Servidor de Aplicativos Web. A identidade é uma conta de usuário do domínio, como contoso\CRMWebAppServer ou Serviço de rede. A identidade oferecerá permissão para o certificado.

     • Para versões Microsoft Dynamics CRM 2016 Service Pack 1 e posteriores:

       serviceAccount 'contoso\CRMAsyncService' ou ‘Network Service’. Parâmetro necessário que especifica a identidade da função do Serviço Assíncrono. A identidade é uma conta de usuário do domínio, como contoso\CRMAsyncService ou Serviço de rede. A identidade oferecerá permissão para o certificado.

   • updateCrm. Adicione as informações de certificado à base de dados da configuração Microsoft Dynamics 365.

     Importante

     Mesmo se você tiver várias funções do servidor do aplicativo Web ou serviço assíncrono implantada, você só precisa executar o comando com o parâmetro updateCrm uma vez.

   • storeFindType FindBySubjectDistinguishedName. Especifica o tipo do repositório de certificados. Por padrão, esse valor é FindBySubjectDistinguishedName e é recomendado quando você executa o script.

   Importante

   Embora o updateCrm e os parâmetros do StoreFindType sejam opcionais para executar o comando, esses parâmetros são necessários para que a integração de SharePoint baseada em servidor sejam adicionadas à base de dados do certificado.

   Exemplo

   .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
   

Preparar o farm do SharePoint para integração baseada em servidor

Obter a ID do Realm do Dynamics 365

1. Inicie o Habilitar assistente de Integração com o SharePoint Baseada em Servidor.Vá para Configurações > Gerenciamento de Documentos. (Como chego lá?)

2. Clique em Avançar, clique em Local e depois clique em Avançar.

3. A ID é exibida próxima a ID do Realm do Dynamics 365 na página.

   Observação

   Salve a ID de Realm do Dynamics 365 em um arquivo de texto em uma rede de compartilhamento segura ou armazenagem baseada em nuvem. Em seguida, você poderá recuperá-lo com facilidade do local onde o Habilitar assistente de Integração com o SharePoint Baseada em Servidor é executado.

No servidor do SharePoint local, no Shell de Gerenciamento do SharePoint, execute estes comandos do PowerShell na ordem determinada.

Preparar o SharePoint Server para autenticação do Dynamics 365 Server

1. Se você estiver usando um shell de gerenciamento PowerShell que não é o Shell de Gerenciamento SharePoint, você deve registrar o módulo SharePoint usando o comando a seguir.

   Add-PSSnapin Microsoft.SharePoint.PowerShell
   

   Habilite a sessão do PowerShell para fazer alterações no serviço de token de segurança para o farm do SharePoint.

   $c = Get-SPSecurityTokenServiceConfig
   $c.AllowMetadataOverHttp = $true
   $c.AllowOAuthOverHttp= $true
   $c.Update()
   

2. Crie o serviço de token de segurança confiável, onde NomeOrganização é o único nome da organização Microsoft Dynamics 365 e CrmServer é o nome do IIS servidor da Web Microsoft Dynamics 365 onde a função Servidor de Aplicativos da Web está instalada, e -Nome “crm” é usado para nomear o security token server (STS).

   Importante

   • Não há suporte para conexão de mais de uma organização do Microsoft Dynamics 365 em um único servidor do Microsoft SharePoint 2013. Porém, você pode conectar-se a mais de uma organização do Microsoft Dynamics 365 para uma farm do servidor SharePoint 2016.

   • Quando você executar o comando New-SPTrustedSecurityTokenIssuer do PowerShell, deverá especificar HTTPS para o ponto de extremidade de metadados do Microsoft Dynamics 365 quando o site do aplicativo do Microsoft Dynamics 365 tiver somente HTTPS ou ambas as associações HTTPS e HTTP, como neste exemplo.

   New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
   

3. Registre o Microsoft Dynamics 365 no conjunto de sites do SharePoint.

   Para executar os comandos a seguir, você deve especificar os dois parâmetros:

   • A URL do conjunto de sites do SharePoint local. No exemplo a seguir, https://sharepoint.contoso.com/sites/crm/ é usado para a URL do conjunto de sites.

   • o CrmRealmId é a ID da organização Microsoft Dynamics 365 que você deseja usar para gerenciamento de documentos com SharePoint.Para obter mais informações:Obter a ID do Realm do Dynamics 365

   Importante

   Para concluir esses comandos, o Proxy de Aplicativo de Serviço de Gerenciamento de Aplicativos do SharePoint deverá existir e estar em execução. Para obter mais informações sobre como iniciar e configurar o serviço, consulte o tópico Definir as configurações de assinatura e os aplicativos de serviço de gerenciamento de aplicativos em Configurar um ambiente para aplicativos para o SharePoint (SharePoint 2013).

   $CrmRealmId = "CRMRealmId"
   
   $Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
   
   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
   
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
   

4. Conceda acesso de aplicativo ao Microsoft Dynamics 365 para o local do SharePoint.

   Dica

   No exemplo a seguir, o aplicativo do Microsoft Dynamics 365 tem permissão concedida para o conjunto especificado de sites do SharePoint usando o parâmetro –Scope sitecollection. O parâmetro de escopo aceita as seguintes opções. Use o escopo que seja mais apropriado para sua configuração do SharePoint:

   • site. Concede permissão do aplicativo Dynamics 365 apenas ao site especificado do SharePoint. Não concede permissão a nenhum subsite no site chamado.

   • sitecollection. Concede permissão do aplicativo Dynamics 365 para todos os sites e subsites dentro do conjunto de sites especificado do SharePoint.

   • sitesubscription. Concede permissão do aplicativo Dynamics 365 para todos os sites na farm do SharePoint, incluindo todos os conjuntos de sites, sites e subsites.

   $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
   #"Set up claims-based authentication mapping"
   New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
   

Executar o Habilitar assistente de Integração com o SharePoint Baseada em Servidor

1. No aplicativo do Microsoft Dynamics 365, vá para Configurações > Gerenciamento de Documentos.

2. Na área Gerenciamento de Documentos, clique em Habilitar Integração com o SharePoint Baseada em Servidor.

3. Analise as informações e clique em Avançar.

4. Para os sites do SharePoint, clique em Local e depois clique em Avançar.

5. No estágio Preparar Sites, digite as seguintes informações:

   • URL do conjunto de sites do SharePoint local, como https://sharepoint.contoso.com/sites/crm. O site já deverá estar configurado para TLS/SSL.

   • ID de Realm do SharePoint.Obter o ID de Realm SharePoint

6. Clique em Avançar.

7. A seção para validar sites aparece. Se todos os sites são válidos, clique em Habilitar. Se um ou mais sites são inválidos, consulte Solução de problemas do Dynamics 365 Server (local) para a integração baseada em servidor do SharePoint Server local.

Selecionar as entidades que você deseja incluir no gerenciamento de documentos

Por padrão, as entidades Conta, Artigo, Lead, Produto, Cotação e Especificações são incluídas. Você pode adicionar ou remover as entidades que serão usadas para gerenciamento de documentos com o SharePoint em Configurações de Gerenciamento de Documentos no Microsoft Dynamics 365.Vá para Configurações > Gerenciamento de Documentos. (Como chego lá?)Para obter mais informações:Centro de Clientes: habilitar o gerenciamento de documentos em entidades

Adicionar integração do OneDrive for Business

Depois de concluir o Microsoft Dynamics 365 e a configuração de integração baseada em servidor local do SharePoint, você também pode integrar o OneDrive for Business. Com a integração do Microsoft Dynamics 365OneDrive for Business, os usuários do Microsoft Dynamics 365 podem criar e gerenciar documentos privados usando o OneDrive for Business. Esses documentos podem ser acessadas no Dynamics 365 depois que o administrador do sistema tiver habilitado o OneDrive for Business.

Habilitar o OneDrive for Business

No Windows Server onde SharePoint Server local está sendo executado, abra o Shell de Gerenciamento do SharePoint e execute os comandos a seguir.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals

# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"

$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)

$wellKnownApp.Update()

Solução de problemas do Dynamics 365 Server (local) para a integração baseada em servidor do SharePoint Server local

Para obter mais informações sobre como solucionar problemas no Habilitar assistente de Integração com o SharePoint Baseada em Servidor e como exibir os logs de monitoramento do SharePoint, consulte Solucionando problemas da autenticação baseada em servidor.

Problemas conhecidos

Para gerenciamento de documentação com a solução de problemas do SharePoint e problemas conhecidos, consulte Solucionando problemas da autenticação baseada em servidor.

Sobre mapeamento da autenticação baseada em declarações

Por padrão, autenticação baseada em servidor entre Dynamics 365 (local) e SharePoint locais usa o identificador de segurança do usuário para autenticar cada usuário. Se Servidor do Microsoft Dynamics 365 e SharePoint estiverem localizados em domínios diferentes de Active Directory que não são confiáveis, você deve usar um mapeamento de autenticação baseada em declarações, como o endereço de e-mail do usuário.Para obter mais informações:Definir mapeamento de declarações personalizadas para integração baseada em servidor com o SharePoint

Trabalhando com certificados digitais

O procedimento a seguir cria um arquivo a troca de informações pessoais (.pfx).

1. Em um computador que tem acesso ao certificado que você deseja usar para autenticação entre servidores, clique em Iniciar, clique em Executar, tipo MMC e depois pressione Enter.

2. Clique em Arquivo depois clique em Adicionar/Remover Snap-in.

3. Na lista de Snap-ins Disponíveis clique em Certificados, clique em Adicionar, clique em Conta de Computador, clique em Avançar, clique em Finalizar para selecionar o computador local, e depois clique em OK.

4. Expanda Certificados, expanda Pessoal, e depois clique em Certificados.

5. Clique com o botão direito no certificado que você deseja criar um arquivo de certificado pessoal, aponte para Todas as Tarefas, e depois clique em Exportar.

6. Clique em Avançar, clique em Sim, exporte a chave privada, verifique se as seguintes opções estão marcadas e depois clique em Avançar.

   • Inclua todos os certificados no caminho de certificação, se possível

   • Exporte todas as propriedades estendidas

7. Clique em Navegar e insira um local e um nome de arquivo para o arquivo .pfx e depois clique em Salvar.

8. Clique em Avançar e depois em Concluir.

Obter o ID de Realm SharePoint

Execute o seguinte comando do PowerShell no Shell de Gerenciamento do SharePoint, onde https://sharepoint.contoso.com/sites/crm/ é a URL do conjunto de sites do SharePoint.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Como alternativa, você pode descobrir a ID do realm do SharePoint nas permissões do aplicativo do site do conjunto de sites do SharePoint.

1. Conecte-se ao conjunto de sites do SharePoint que você usará para gerenciamento de documentos com o Microsoft Dynamics 365.

2. Vá para Configurações do site > Permissões de aplicativo do site.

3. A ID do realm é exibida em Identificador do aplicativo, à direita do símbolo @. Copie-a para a área de transferência. No Habilitar assistente de Integração com o SharePoint Baseada em Servidor, cole somente o GUID. Não cole qualquer parte do identificador à esquerda de @.

© 2017 Microsoft. Todos os direitos reservados. Direitos autorais