Partajați prin

Configurarea autentificării bazate pe server cu SharePoint local

  • Articol

Integrarea bazată pe server SharePoint pentru gestionarea documentelor poate fi utilizată pentru a conecta aplicațiile Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing și Dynamics 365 Project Service Automation), cu SharePoint local. Atunci când se utilizează autentificarea bazată pe server, Microsoft Entra serviciile de domeniu sunt utilizate ca broker de încredere și utilizatorii nu trebuie să se conecteze SharePoint.

Permisiuni necesare

Următoarele abonamente și privilegii sunt necesare pentru a activa gestionarea documentelor SharePoint.

  • Calitatea de administrator global Microsoft 365 - aceasta este necesară pentru:

    • Acces la nivel administrativ la abonamentul Microsoft 365.
    • Rularea expertului pentru activarea autentificării bazate pe server.
    • Rularea cmdleturilor AzurePowerShell.

  • Privilegiul Power Apps Rulați expertul de integrare SharePoint. Acest lucru este necesar pentru a rula expertul Activare autentificare bazată pe server.

    Implicit, rolul de securitate Administrator de sistem are acest privilegiu.

  • Pentru integrarea locală SharePoint, afilierea la grupul Administratori de fermă SharePoint. Acest lucru este necesar pentru a rula majoritatea comenzilor PowerShell pe un server SharePoint.

Configurarea autentificării de la server pe server cu SharePoint local

Urmați pașii în ordinea prevăzută pentru a configura aplicațiile Customer Engagement cu SharePoint 2013 local.

Important

Pașii descriși aici trebuie parcurși în ordinea prevăzută. Dacă o activitate nu este finalizată, cum ar fi o comandă PowerShell care returnează un mesaj de eroare, problema trebuie rezolvată înainte de a continua la următoarea comandă, activitate sau la următorul pas.

Verificarea cerințelor preliminare

Înainte de a configura aplicațiile Customer Engagement și SharePoint local pentru autentificarea bazată pe server, trebuie îndeplinite următoarele premise:

Cerințe preliminare SharePoint

  • SharePoint 2013 (local) cu pachet Service Pack 1 (SP1) sau o versiune ulterioară

    Important

    Versiunile SharePoint Foundation 2013 nu sunt acceptate pentru utilizarea cu gestionarea documentelor în aplicațiile Customer Engagement.

  • Instalați Actualizarea cumulativă (CU) din aprilie 2019 pentru produse de familie SharePoint 2013. În această versiune din aprilie 2019, CU include toate remedierile SharePoint 2013 (inclusiv toate remedierile de securitate SharePoint 2013) lansate după SP1. CU din aprilie 2019 nu include SP1. Trebuie să instalați SP1 înainte de a instala CU-ul din aprilie 2019. Informații suplimentare: KB4464514 SharePoint Server 2013 aprilie 2019 CU

  • Configurare SharePoint

    • Dacă utilizați SharePoint 2013, pentru fiecare fermă SharePoint poate fi configurată o singură aplicație Customer Engagement pentru integrarea bazată pe server.

    • Site-ul web SharePoint trebuie să fie accesibil prin internet. Un proxy invers, de asemenea, poate fi necesar pentru autentificarea SharePoint. Mai multe informații: Configurarea unui dispozitiv proxy invers pentru SharePoint Server 2013 hibrid

    • Site-ul web SharePoint trebuie să fie configurat pentru a utiliza SSL (HTTPS) pe portul TCP 443 (nu sunt acceptate porturi particularizate) și certificatul trebuie să fie emis de o autoritate de certificare rădăcină publică. Informații suplimentare: SharePoint : despre certificate Secure Channel SSL

    • O proprietate de utilizator de încredere de utilizat pentru maparea autentificării bazate pe solicitări între SharePoint și aplicații Customer Engagement. Mai multe informații: Selectarea unui tip de mapare a revendicărilor

    • Pentru partajarea documentelor, trebuie să fie activat serviciul de căutare SharePoint. Informații suplimentare: Crearea și configurarea unei aplicații serviciu de căutare în SharePoint Server

    • Pentru funcționalitatea de gestionare a documentelor în timpul utilizării aplicațiilor mobile Dynamics 365, trebuie ca serverul SharePoint local să fie disponibil pe internet.

Alte cerințe preliminare

  • Licență SharePoint Online. Aplicațiile Customer Engagement pentru autentificarea bazată pe server local trebuie să SharePoint aibă numele principal al SharePoint serviciului (SPN) înregistrat în Microsoft Entra ID. Pentru a realiza acest lucru, este necesară cel puțin o licență de utilizator SharePoint Online. Licența SharePoint Online poate fi derivată dintr-o singură licență de utilizator și provine de obicei de la una dintre următoarele:

    • Un abonament SharePoint Online. Orice plan SharePoint Online este suficient, chiar dacă licența nu este atribuită unui utilizator.

    • Un abonament Microsoft 365 care include SharePoint Online. De exemplu, dacă aveți Microsoft 365 E3, aveți licențierea adecvată chiar dacă licența nu este atribuită unui utilizator.

      Pentru mai multe informații despre aceste planuri, consultați Găsiți soluția potrivită pentru dvs. și Comparați opțiunile SharePoint

  • Următoarele caracteristici software sunt necesare pentru a rula cmdleturile PowerShell descrise în acest subiect.

    • Asistentul de conectare Microsoft Online Services pentru specialiști IT Beta

    • MSOnlineExt

    • Pentru a instala modulul MSOnlineExt, introduceți următoarea comandă dintr-o sesiune de administrator PowerShell. PS> Install-Module -Name "MSOnlineExt"

    Important

    În acest moment, există o problemă cu versiunea RTW a Asistentului de conectare Microsoft Online Services pentru specialiști IT. Până când problema se rezolvă, vă recomandăm să utilizați versiunea Beta. Informații suplimentare:Forumuri: Microsoft Azure Imposibil de instalat Microsoft Entra modulul pentru Windows PowerShell. MOSSIA nu este instalat.

  • Un tip potrivit de mapare a autentificării bazate pe solicitări de utilizat pentru maparea identităților dintre aplicații Customer Engagement și SharePoint local. În mod implicit, adresa de e-mail este folosită. Mai multe informații: Acordați aplicațiilor de implicare a clienților permisiunea de a accesa SharePoint și de a configura maparea autentificării bazate pe solicitări

SharePoint Actualizați serverul SPN în Microsoft Entra Domain Services

Pe serverul local SharePoint în componenta de administrare SharePoint 2013, rulați aceste comenzi PowerShell în ordinea dată.

  1. Pregătiți sesiunea PowerShell.

    Următoarele cmdleturi permit computerului să primească comenzi de la distanță și să adauge module Microsoft 365 la sesiunea PowerShell. Pentru mai multe informații despre aceste cmdleturi, consultați Cmdleturile Windows PowerShell de bază.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Conectați-vă la Microsoft 365.

    Atunci când rulați comanda Connect-MsolService, trebuie să furnizați un cont Microsoft valid care are calitatea de Administrator global pentru licența SharePoint Online necesară.

    Pentru informații detaliate despre fiecare dintre Microsoft Entra comenzile IDPowerShell listate aici, consultați Gestionarea Microsoft Entra utilizând Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Setați numele gazdei SharePoint.

    Valoarea setată pentru variabila HostName trebuie să fie numele de gazdă complet al colecției de site-uri SharePoint. Numele de gazdă trebuie să fie derivat din URL-ul colecției de site-uri și este sensibil la litere mari și mici. În acest exemplu, URL-ul colecției de site-uri este <https://SharePoint.constoso.com/sites/salesteam>, așadar, numele gazdei este SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Obțineți ID-ul de obiect (entitate găzduită) Microsoft 365 și numele principal de serviciu SharePoint (SPN) de pe server.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. SharePoint Setați Server Service Principal Name (SPN) în Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    După finalizarea acestor comenzi, nu închideți componenta de administrare SharePoint 2013 și continuați cu pasul următor.

Actualizarea domeniului SharePoint pentru a se potrivi cu domeniul SharePoint Online

Pe serverul local SharePoint, în componenta de administrare SharePoint 2013, rulați această comandă Windows PowerShell.

Următoarea comandă necesită calitatea de membru al grupului de administratori de fermă SharePoint și stabilește domeniul de autentificare al fermei locale SharePoint.

Atenție

Rularea acestei comenzi modifică domeniul de autentificare al fermei locale SharePoint. Pentru aplicații care utilizează un serviciu simbol de securitate existent, acest lucru poate cauza un comportament neașteptat cu alte aplicații care utilizează simboluri de acces. Mai multe informații: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Crearea unui emitent de tokenuri de securitate de încredere pentru Microsoft Entra ID pe SharePoint

Pe serverul local SharePoint în componenta de administrare SharePoint 2013, rulați aceste comenzi PowerShell în ordinea dată.

Următoarele comenzi necesită calitatea de membru al grupului de administratori ai fermei SharePoint.

Pentru informații detaliate despre aceste comenzi PowerShell, consultați Utilizarea cmdleturilor Windows PowerShell pentru a administra securitatea în SharePoint 2013.

  1. Activați sesiunea PowerShell pentru a face modificări serviciului simbol de securitate pentru ferma SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Setați punctul final al metadatelor.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Creați noul proxy al aplicației serviciului de control al simbolurilor în Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Notă

    Comanda New- SPAzureAccessControlServiceApplicationProxy poate returna un mesaj de eroare care indică faptul că un proxy de aplicație cu același nume există deja. Dacă proxy-ul numit de aplicație există deja, puteți ignora eroarea.

  4. Creați noul emitent al serviciului de control al tokenurilor în SharePoint local pentru Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Acordați aplicațiilor de implicare a clienților permisiunea de a accesa SharePoint și de a configura maparea autentificării bazate pe solicitări

Pe serverul local SharePoint în componenta de administrare SharePoint 2013, rulați aceste comenzi PowerShell în ordinea dată.

Următoarele comenzi necesită calitatea de membru al grupului de administratori ai colecției de site-uri SharePoint.

  1. Înregistrați aplicații Customer Engagement cu colecția de site-uri SharePoint.

    Introduceți URL-ul colecției de site-uri locale SharePoint. În acest exemplu, se utilizează https://sharepoint.contoso.com/sites/crm/.

    Important

    Pentru a finaliza această comandă, proxy-ul de aplicație al serviciului de gestionare a aplicațiilor SharePoint trebuie să existe și să funcționeze. Pentru mai multe informații despre cum să porniți și să configurați serviciul, consultați subiectul Configurarea aplicațiilor de serviciu Gestionarea aplicațiilor și Setări de abonare în Configurarea unui mediu pentru aplicații pentru SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Acordați aplicațiilor de implicare a clienților acces la site-ul SharePoint. Înlocuiți https://sharepoint.contoso.com/sites/crm/ cu URL-ul dvs. de site SharePoint.

    Notă

    În exemplul următor, aplicația Customer Engagement primește permisiunea pentru colecția de site-uri SharePoint specificată folosind parametrul de colecție de site –Scope. Parametrul Domeniu de aplicare acceptă următoarele opțiuni. Alegeți domeniul cel mai potrivit pentru configurația dvs. SharePoint.

    • site. Acordă aplicațiilor de implicare a clienților permisiunea doar pentru site-ul SharePoint specificat. Nu acordă permisiune pentru niciun subsite de sub site-ul numit.
      • sitecollection. Acordă aplicațiilor de implicare a clienților permisiunea pentru toate site-urile web și subsite-urile din colecția de site-uri SharePoint specificată.
      • sitesubscription. Acordă aplicațiilor de implicare a clienților permisiunea pentru toate site-urile web din ferma SharePoint, inclusiv toate colecțiile de site-uri, site-urile web și subsite-urile.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Setați tipul de mapare a autentificării bazate pe solicitări.

    Important

    În mod implicit, maparea autentificării pe bază de solicitări va utiliza adresa de e-mail a contului Microsoft al utilizatorului și adresa de serviciu pentru SharePoint local al utilizatorului pentru mapare. Când utilizați aceasta, adresele de e-mail ale utilizatorului trebuie să corespundă între cele două sisteme. Pentru mai multe informații, consultați Selectarea unui tip de mapare a autentificării bazate pe solicitări.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Rulați expertul de integrare SharePoint bazat pe server

Parcurgeţi aceste etape:

  1. Verificați dacă aveți permisiunea adecvată pentru a rula expertul. Mai multe informații: Permisiuni necesare

  2. Accesați Setări>Gestionare documente.

  3. În zona Gestionare documente, faceți clic pe Activarea integrării SharePoint bazate pe server.

  4. Revizuiți informațiile, apoi faceți clic pe Următorul.

  5. Pentru site-urile SharePoint, faceți clic pe Local, apoi pe Următorul.

  6. Introduceți URL-ul colecției de site-uri locale SharePoint, cum ar fi https://sharepoint.contoso.com/sites/crm. Site-ul trebuie configurat pentru SSL.

  7. Faceți clic pe Următorul.

  8. Apare secțiunea de validare site-uri. Dacă toate site-urile sunt determinate ca fiind valide, faceți clic pe Activare. Dacă unul sau mai multe site-uri sunt determinate ca fiind nevalide, consultați Depanarea autentificării bazate pe server.

Selectați entitățile pe care doriți să le includeți în gestionarea documentelor

În mod implicit, sunt incluse entitățile Cont, Articol, Client potențial, Produs, Ofertă și Literatură de vânzări. Puteți să adăugați sau să eliminați entitățile care vor fi utilizate pentru gestionarea documentelor cu SharePoint în Setările de gestionare a documentelor. Accesați Setări>Gestionare documente. Mai multe informații: Activarea gestionării documentelor în entități

Adăugarea integrării OneDrive for Business

După ce terminați configurarea locală a autentificării de aplicații Customer Engagement și SharePoint bazate pe server, puteți integra și OneDrive pentru business. Cu integrarea aplicațiilor de implicare a clienților și OneDrive pentru business, utilizatorii pot crea și gestiona documente private utilizând OneDrive pentru business. Acele documente pot fi accesate odată ce administratorul de sistem a activat OneDrive pentru business.

Activați OneDrive pentru Business

Pe acel Windows Server pe care rulează SharePoint Server local, deschideți componenta de administrare SharePoint și rulați următoarele comenzi:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Selectarea unui tip de mapare a autentificării bazate pe solicitări

În mod implicit, maparea autentificării pe bază de solicitări va utiliza adresa de e-mail a contului Microsoft al utilizatorului și adresa de serviciu pentru SharePoint local al utilizatorului pentru mapare. Observați că, orice tip de autentificare bazată pe solicitări ați utiliza, valorile, cum ar fi adresele de e-mail, trebuie să se potrivească între aplicații Customer Engagement și SharePoint. Sincronizarea directoarelor Microsoft 365 poate ajuta cu acest lucru. Mai multe informații: Implementați sincronizarea directoarelor Microsoft 365 în Microsoft Azure. Pentru a utiliza un alt tip de mapare a autentificării bazate pe solicitări, consultați Definiți maparea de solicitări particularizată pentru integrarea bazată pe server SharePoint.

Important

Pentru a activa proprietatea de e-mail de lucru, SharePoint local trebuie să aibă o aplicație de serviciu profil de utilizator configurată și pornită. Pentru a activa o aplicație de serviciu profil de utilizator în SharePoint, consultați Crearea, editarea sau ștergerea aplicațiilor de serviciu profil de utilizator în SharePoint Server 2013. Pentru a modifica o proprietate de utilizator, cum ar fi E-mail de lucru, consultați Editarea unei proprietăți de profil de utilizator. Pentru informații suplimentare despre aplicația de serviciu profil de utilizator, consultați Prezentarea generală a aplicației de serviciu profil de utilizator în SharePoint Server 2013.

Vedeți și

Depanarea autentificării bazate pe server
Consultați integrarea SharePoint cu aplicațiile Customer Engagement