Konfigurácia serverového overenia pomocou lokálnej služby SharePoint

Serverovú integráciu služby SharePoint na správu dokumentov je možné použiť na prepojenie aplikácií na interakciu so zákazníkmi (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing a Dynamics 365 Project Service Automation) s lokálnou službou SharePoint. Pri použití serverovej autentifikácie sa Microsoft Entra Doménové služby používajú ako sprostredkovateľ dôveryhodnosti a používatelia sa nemusia prihlasovať SharePoint.

Požadované povolenia

Na zapnutie správy dokumentov SharePoint sú potrebné nasledujúce členstvá a oprávnenia.

• Členstvo globálneho správcu Microsoft 365 – vyžaduje sa toto:

  • Prístup na úrovni správcu k predplatnému Microsoft 365.
  • Spustenie sprievodcu povolením overovania na serveri.
  • Spustenie rutín cmdlet AzurePowerShell.

• Oprávnenie Power Apps Spúšťať sprievodcu integráciou SharePoint. Je to potrebné na spustenie Sprievodcu povolenia serverového overenia.

  V predvolenom nastavení má rola zabezpečenia správcu systému toto oprávnenie.

• Pre lokálnu integráciu SharePoint členstvo v skupine správcov farmy SharePoint. To je potrebné na spustenie väčšiny príkazov prostredia PowerShell na serveri SharePoint.

Nastavenie vzájomného serverového overenia pomocou lokálnej služby SharePoint

Postupujte podľa krokov v danom poradí a nastavte aplikácie na interakciu so zákazníkmi s lokálnou službou SharePoint 2013.

Dôležité

Kroky popísané tu musia byť vykonané v danom poradí. Ak úloha nie je ukončená, ako napríklad príkaz PowerShell, ktorý vráti chybové hlásenie, problém musí byť vyriešený skôr, ako budete pokračovať na ďalší príkaz, úlohu alebo krok.

Overenie predpokladov

Pred nakonfigurovaním aplikácií na interakciu so zákazníkmi a lokálnej služby SharePoint na serverové overenie musia byť splnené nasledujúce predpoklady:

Predpoklady pre SharePoint

• SharePoint 2013 (lokálny) s aktualizáciou Service Pack 1 (SP1) alebo novšia verzia

  Dôležité

  Verzie služby SharePoint Foundation 2013 nie sú podporované na používanie so správou dokumentov aplikácií na interakciu so zákazníkmi.

• Nainštalujte kumulatívnu aktualizáciu (CU) z apríla 2019 pre skupinu produktov SharePoint 2013. Táto CU z apríla 2019 zahŕňa všetky opravy SharePoint 2013 (vrátane všetkých opráv zabezpečenia SharePoint za rok 2013) vydaných od SP1. CU z apríla 2019 nezahŕňa SP1. Pred inštaláciou CU z apríla 2019 musíte nainštalovať SP1. Viac informácií: KB4464514 SharePoint Server 2013 – apríl 2019 CU

• Konfigurácia služby SharePoint

  • Ak používate SharePoint 2013, pre každú farmu SharePoint možno na serverovú integráciu nakonfigurovať iba jednu aplikáciu na interakciu so zákazníkmi.

  • Webová lokalita služby SharePoint musí byť prístupná cez internet. Na overenie služby SharePoint sa môže vyžadovať aj reverzný server proxy. Ďalšie informácie: Konfigurácia zariadenia reverzného servera proxy pre hybridný SharePoint Server 2013

  • Webová lokalita SharePoint musí byť nakonfigurovaná na používanie protokolu SSL (HTTPS) na TCP porte 443 (nie sú podporované žiadne vlastné porty) a certifikát musí byť vydaný verejnou certifikačnou autoritou. Viac informácií: SharePoint: Informácie o certifikátoch SSL zabezpečeného kanála

  • Spoľahlivá vlastnosť používateľa na používanie pre mapovanie overenia založeného na deklarácii identity medzi službou SharePoint a aplikáciami na interakciu so zákazníkmi. Ďalšie informácie: Výber typu mapovania deklarácie identity

  • Pre zdieľanie dokumentov musíte zapnúť službu vyhľadávania SharePoint. Ďalšie informácie: Vytvorenie a konfigurácia aplikácie služby vyhľadávania na serveri SharePoint

  • Pre funkcie správy dokumentov pri použití mobilných aplikácií Dynamics 365 musí byť server lokálnej služby SharePoint musí byť k dispozícii prostredníctvom internetu.

Iné predpoklady

• Licencia SharePoint Online. Aplikácie na zapojenie zákazníkov do SharePoint lokálny serverovej autentifikácie musia mať SharePoint hlavný názov služby (SPN) zaregistrovaný v Microsoft Entra ID. Na dosiahnutie toho je potrebná aspoň jedna používateľská licencia na SharePoint Online. Licenciu na SharePoint Online možno odvodiť od jednej používateľskej licencie a zvyčajne ide o jednu z nasledujúcich:

  • Predplatné SharePoint Online. Akýkoľvek plán SharePoint Online je dostatočný aj v prípade, ak licencia nie je priradená k používateľovi.

  • Prihlásenie na odber služieb Microsoft 365, ktoré zahŕňa SharePoint Online. Ak napríklad máte Microsoft 365 E3, máte príslušnú licenciu, aj v prípade, ak licencia nie je priradená k používateľovi.

    Ďalšie informácie o týchto plánoch nájdete v témach Nájdite správne riešenie a Porovnajte možnosti služby SharePoint

• Tieto softvérové funkcie sú potrebné na spustenie rutín cmdlet PowerShell opísaných v tejto téme.

  • Microsoft Prihlásenie do online služieb asistent pre IT profesionálov Beta

  • MSOnlineExt

  • Na inštaláciu modulu MSOnlineExt zadajte cez reláciu PowerShell nasledovný príkaz. PS> Install-Module -Name "MSOnlineExt"

  Dôležité

  V čase písania tohto článku sa vyskytol problém s RTW verziou Microsoft Online Services Sign-In asistent pre IT profesionálov. Kým sa problém vyrieši, odporúčame použiť verziu beta. Ďalšie informácie: Microsoft Azure Fóra: Nedá sa nainštalovať Microsoft Entra Modul pre Windows PowerShell. MOSSIA nie je nainštalovaná.

• Vhodný typ mapovania overenia založeného na deklarácii identity na používanie mapovania identít medzi aplikáciami na interakciu so zákazníkmi a lokálnou službou SharePoint. V predvolenom nastavení sa používa e-mailová adresa. Ďalšie informácie: Udelenie povolenia aplikáciám na interakciu so zákazníkmi na prístup do služby SharePoint a na konfiguráciu mapovania overenia založeného na deklarácii identity

Aktualizujte SharePoint SPN servera v Microsoft Entra Domain Services

Na lokálnom serveri SharePoint v prostredí SharePoint 2013 Management Shell spustite tieto príkazy PowerShell v danom poradí.

1. Pripravte reláciu PowerShell.

   Nasledujúce rutiny cmdlet umožňujú počítaču prijímať vzdialené príkazy a pridávať moduly služby Microsoft 365 do relácie PowerShell. Ďalšie informácie o týchto rutinách cmdlet nájdete v téme Základné rutiny cmdlet prostredia Windows PowerShell.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Pripojte sa k službe Microsoft 365.

   Keď spustíte príkaz Connect-MsolService, musíte poskytnúť platný Microsoft účet, ktorý má členstvo globálneho správcu pre SharePoint Online licenciu, ktorá sa vyžaduje.

   Podrobné informácie o každom z Microsoft Entra príkazov IDPowerShell uvedených tu nájdete v časti Správa Microsoft Entra pomocou prostredia Windows PowerShell

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Nastavte názov hostiteľa služby SharePoint.

   Hodnota, ktorú nastavíte pre premennú HostName musí byť úplný názov hostiteľa kolekcie lokalít služby SharePoint. Názov hostiteľa musí byť odvodený od URL adresy kolekcie lokalít a rozlišuje malé a veľké písmená. V tomto prípade je adresa URL lokality zberu <https://SharePoint.constoso.com/sites/salesteam>, a preto bude názov hostiteľa SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Získajte identifikáciu objektu služby Microsoft 365 (nájomník) a hlavný názov služby (SPN) servera SharePoint.

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Nastavte SharePoint Hlavný názov serverovej služby (SPN) v Microsoft Entra ID.

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Po dokončení týchto príkazov nezatvorte aplikáciu SharePoint 2013 Management Shell a pokračujte ďalším krokom.

Aktualizácia oblasti SharePoint, aby sa zhodovala so SharePoint Online

Na serveri lokálnej služby SharePoint spustite v aplikácii SharePoint 2013 Management Shell tento príkaz Windows PowerShell.

Nasledujúci príkaz vyžaduje členstvo správcu farmy SharePoint a nastaví oblasť overenia farmy lokálnej služby SharePoint.

Upozornenie

Spustením tohto príkazu sa zmení oblasť overenia farmy lokálnej služby SharePoint. Pre aplikácie, ktoré používajú existujúcu službu tokenu zabezpečenia (STS), to môže spôsobiť neočakávané správanie s inými aplikáciami, ktoré používajú tokeny prístupu. Ďalšie informácie: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Vytvorte dôveryhodného vydavateľa bezpečnostného tokenu pre Microsoft Entra ID SharePoint

Na lokálnom serveri SharePoint v prostredí SharePoint 2013 Management Shell spustite tieto príkazy PowerShell v danom poradí.

Nasledujúce príkazy vyžadujú členstvo správcu farmy SharePoint.

Podrobné informácie o týchto príkazoch PowerShell nájdete v téme Využitie rutín cmdlet prostredia Windows PowerShell na správu zabezpečenia služby SharePoint 2013.

1. Povoľte reláciu PowerShell na vykonanie zmeny služby tokenov zabezpečenia pre farmy SharePoint.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Nastavte koncový bod metaúdajov.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Vytvorte nový proxy aplikačného servera riadenia tokenov v Microsoft Entra ID.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Poznámka

   Príkaz New- SPAzureAccessControlServiceApplicationProxy môže vrátiť chybové hlásenie uvádzajúce, že služba proxy aplikácie s rovnakým názvom už existuje. Ak už existuje pomenovaná proxy aplikácie, chybu môžete ignorovať.

4. Vytvorte nového vydavateľa služby kontroly tokenov v SharePoint lokálny pre Microsoft Entra ID.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Udelenie povolenia aplikáciám na interakciu so zákazníkmi na prístup do služby SharePoint a na konfiguráciu mapovania overenia založeného na deklarácii identity

Na lokálnom serveri SharePoint v prostredí SharePoint 2013 Management Shell spustite tieto príkazy PowerShell v danom poradí.

Nasledujúce príkazy vyžadujú členstvo správcu kolekcie lokalít služby SharePoint.

1. Registrácia aplikácií na interakciu so zákazníkmi s kolekciou lokalít SharePoint.

   Zadajte URL adresu kolekcie lokalít lokálnej služby SharePoint. V tomto príklade sa používa https://sharepoint.contoso.com/sites/crm/.

   Dôležité

   Na dokončenie tohto príkazu musí existovať server proxy aplikácie radenia služieb aplikácie SharePoint a musí byť spustená. Ďalšie informácie o tom, ako začať a konfigurovať službu, nájdete v podtéme Konfigurácia nastavení prihlásenia na odber a aplikácií riadenia služieb aplikácie v téme Konfigurácia prostredia pre aplikácie pre službu SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Udelenie prístupu aplikáciám na interakciu so zákazníkmi k lokalite SharePoint. Nahraďte https://sharepoint.contoso.com/sites/crm/ svojou adresou URL lokality SharePoint.

   Poznámka

   V nasledujúcom príklade aplikácie na interakciu so zákazníkmi je povolenie udelené konkrétnej kolekcie lokalít SharePoint pomocou parametra Rozsah kolekcie lokalít. Parameter Scope prijíma nasledujúce možnosti. Vyberte rozsah, ktorý je najvhodnejší pre konfiguráciu služby SharePoint.

   • site. Udelí povolenie aplikáciám na interakciu so zákazníkmi iba zadanej webovej lokalite SharePoint. Neudáva povolenie všetkým podlokalitám v menovanej lokalite.
     • sitecollection. Udelí povolenie aplikáciám na interakciu so zákazníkmi všetkým webovým lokalitám a podlokalitám v rámci zadanej kolekcie lokalít SharePoint.
     • sitesubscription. Udelí povolenie aplikáciám na interakciu so zákazníkmi všetkým webovým lokalitám vo farme SharePoint vrátane všetkých kolekcií lokalít, webových lokalít a podlokalít.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Nastaviť typ mapovania overenia založeného na deklarácii identity.

   Dôležité

   Overenie založené na nárokoch mapovanie predvolene použije Microsoft e-mailovú adresu účtu používateľa a SharePoint lokálny pracovný e-mail používateľa adresa pre mapovanie. Pri takomto použití sa musia e-mailové adresy používateľa zhodovať medzi oboma systémami. Ďalšie informácie nájdete v sekcii Výber typu mapovania overenia založeného na deklarácii identity.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Spustenie sprievodcu povolením serverovej integrácie služby SharePoint

Použite tento postup:

1. Overte, že máte zodpovedajúce povolenie na spustenie sprievodcu. Ďalšie informácie: Požadované povolenia

2. Prejdite do časti Nastavenia>Správa dokumentov.

3. V oblasti Správa dokumentu kliknite na položku Povoliť serverovú integráciu programu SharePoint.

4. Skontrolujte informácie a potom kliknite na položku Ďalej.

5. V prípade lokalít SharePoint kliknite na položku Lokálne a potom na Ďalej.

6. Zadajte SharePoint lokálnej adresy URL zberu lokality, napríklad https://sharepoint.contoso.com/sites/crm. Lokalita musí byť nakonfigurovaná pre protokol SSL.

7. Kliknite na tlačidlo Ďalej.

8. Zobrazí sa sekcia overenia lokalít. Ak sú všetky stránky stanovené platné, kliknite na položku Povoliť. Ak sa v prípade jednej alebo viacerých lokalít určilo, že sú neplatné, prejdite na sekciu Riešenie problémov týkajúcich sa serverového overenia.

Výber entít, ktoré chcete zahrnúť do správy dokumentov

V predvolenom nastavení sú zahrnuté entity Obchodný vzťah, Článok, Potenciálny zákazník, Produkt, Cenová ponuka a Sales dokumentácia. Môžete pridať alebo odstrániť entity, ktoré sa použijú na správu dokumentov pomocou služby SharePoint v ponuke Nastavenie správy dokumentov. Prejdite do časti Nastavenia>Správa dokumentov. Ďalšie informácie: Povolenie spravovania dokumentov entít

Pridanie integrácie OneDrive for Business

Po dokončení konfigurácie serverového overenia lokálnych verzií aplikácií na interakciu so zákazníkmi a služby SharePoint môžete integrovať aj službu OneDrive for Business. V integrácii aplikácií na interakciu so zákazníkmi a služby OneDrive for Business môžu používatelia aplikácií vytvárať a spravovať súkromné dokumenty pomocou služby OneDrive for Business. K týmto dokumentom môžete pristupovať, keď správca systému povolí službu OneDrive for Business.

Povoliť OneDrive for Business

Na serveri Windows Server so spustenou lokálnou verziou servera SharePoint otvorte prostredie SharePoint Management Shell a spustite nasledujúce príkazy:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Výber typu mapovania overenia založeného na deklarácii identity

Overenie založené na nárokoch mapovanie štandardne použije Microsoft e-mailovú adresu účtu používateľa a pre mapovanie pracovnú e-mailovú adresu používateľa SharePoint lokálny. Upozorňujeme, že nezávisle od použitého typu overenia založeného na deklarácii identity sa hodnoty, ako sú e-mailové adresy, musia zhodovať medzi aplikáciami na interakciu so zákazníkmi a službou SharePoint. Synchronizácie adresárov služby Microsoft 365 môže pomôcť. Ďalšie informácie: Nasadenie synchronizácie priečinkov Microsoft 365 v Microsoft Azure. Na použitie iného typu priradenia overenia založeného na deklarácii identity si prečítajte v časti Definícia vlastného mapovania deklarácie identity pre serverovú integráciu služby SharePoint.

Dôležité

Na povolenie vlastnosti pracovnej e-mailovej adresy musí mať lokálna služba SharePoint aplikáciu služby používateľského profilu nakonfigurovanú a spustenú. Aplikáciu služby používateľského profilu povoľte v službe SharePoint, pozri Vytvorenie, úprava alebo odstránenie aplikácií služby používateľského profilu na serveri SharePoint Server 2013. Ak chcete zmeniť vlastnosť používateľa, napríklad pracovnú e-mailovú adresu, pozrite si tému Úprava vlastnosti používateľského profilu. Ďalšie informácie o aplikácii služby používateľského profilu nájdete v téme Prehľad aplikácie služby používateľského profilu na serveri SharePoint Server 2013.

Pozrite si tiež:

Riešenie problémov s autentifikáciou na serveri
Nastavte SharePoint integráciu s aplikáciami na interakciu so zákazníkmi