Konfiguracija preverjanja pristnosti s strežnikom SharePoint na mestu uporabe
Strežniška integracija storitve SharePoint za upravljanje dokumentov se lahko uporablja za povezovanje aplikacij za interakcijo s strankami (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing in Dynamics 365 Project Service Automation) s storitvijo SharePoint na mestu uporabe. Pri uporabi strežniškega preverjanja pristnosti se Microsoft Entra Domain Services uporablja kot posrednik zaupanja in uporabnikom se ni treba prijaviti SharePoint.
Zahtevana dovoljenja
Za omogočanje upravljanja dokumentov SharePoint so potrebna naslednja članstva in pravice.
Članstvo za globalne skrbnike za Microsoft 365 – to je potrebno za:
- Dostop na ravni skrbnika do naročnine za Microsoft 365.
- Izvajanje čarovnika za omogočanje preverjanja pristnosti v strežniku.
- Izvajanje ukazov cmdlet AzurePowerShell.
Pravica za Power Apps Zagon čarovnika za integracijo okolja SharePoint. To je zahtevano za zagon čarovnika za omogočanje preverjanja pristnosti v strežniku.
Privzeto ima varnostna vloga skrbnika sistema to pravico.
Za integracijo na mestu uporabe aplikacije SharePoint je potrebno članstvo v skupini skrbnikov gruče za SharePoint. To je potrebno za izvajanje večine ukazov PowerShell na SharePoint strežniku.
Nastavitev preverjanja pristnosti med strežniki z mestom SharePoint na mestu uporabe
Upoštevajte korake v navedenem zaporedju in nastavite aplikacije za interakcijo s strankami z mestom SharePoint 2013 na mestu uporabe.
Pomembno
Tukaj opisane korake morate dokončati v navedenem zaporedju. Če določeno opravilo ni dokončano, npr. ukaz PowerShell, ki vrne sporočilo o napaki, je treba težavo odpraviti, preden nadaljujete z naslednjim ukazom, opravilom ali korakom.
Preverjanje zahtev
Pred konfiguracijo aplikacij za interakcijo s strankami in mesta SharePoint na mestu uporabe za preverjanje pristnosti v strežniku je treba izpolniti naslednje zahteve:
Zahteve SharePoint
SharePoint 2013 (na mestu uporabe) s servisnim paketom 1 (SP1) ali novejšo različico
Pomembno
Različice SharePoint Foundation 2013 niso podprte za uporabo z upravljanjem dokumentov v aplikacijah za interakcijo s strankami.
Namestite zbirno posodobitev iz aprila 2019 za družino izdelkov SharePoint 2013. Ta zbirna posodobitev iz aprila 2019 vključuje vse popravke SharePoint 2013 (vključno vse varnostne popravke SharePoint 2013), izdane od SP1. Zbirna posodobitev iz aprila 2019 ne vključuje SP1. Namestiti morate SP1, da boste lahko nato namestili zbirno posodobitev iz aprila 2019. Več informacij: KB4464514 – zbirna posodobitev iz aprila 2019 za strežnik SharePoint 2013
Konfiguracija storitve SharePoint
Če uporabljate SharePoint 2013, je za vsako gručo SharePoint za strežniško integracijo mogoče konfigurirati le eno aplikacijo za interakcijo s strankami.
Spletno mesto SharePoint mora biti dostopno prek interneta. Za preverjanje pristnosti mesta SharePoint je morda zahtevan obratni proxy. Več informacij: Konfiguracija naprave z obratnim proxyjem za hibridni SharePoint Server 2013
Spletno mesto SharePoint mora biti konfigurirano za uporabo protokola SSL (HTTPS) v vratih TCP 443 (vrata po meri niso podprta), potrdilo pa mora izdati javen in zaupanja vreden overitelj potrdil. Več informacij: SharePoint : Potrdila varnega kanala SSL
Zanesljiva uporabniška lastnost za preslikavo preverjanja pristnosti na osnovi zahtevkov med mestom SharePoint in aplikacijami za interakcijo s strankami. Več informacij: Izbira vrste preslikave zahtevkov
Za skupno rabo dokumentov mora biti omogočena iskalna storitev SharePoint. Več informacij: Ustvarjanje in konfiguracija aplikacije za storitev iskanja v strežniku SharePoint
Za funkcijo upravljanja dokumentov pri uporabi mobilnih aplikacij Dynamics 365 mora biti strežnik SharePoint na mestu uporabe na voljo prek interneta.
Druge zahteve
Licenca za SharePoint Online. Aplikacije za sodelovanje s strankami za SharePoint na mestu uporabe strežniško avtentikacijo morajo imeti SharePoint principal ime storitve (SPN), registrirano v Microsoft Entra ID. Za to je potrebna najmanj ena uporabniška licenca za SharePoint Online. Licenca za SharePoint Online lahko izhaja iz licence za enega uporabnika in običajno izvira iz ene od teh možnosti:
Naročnina na SharePoint Online. Zadostuje kateri koli paket SharePoint Online, tudi če licenca ni dodeljena nobenemu uporabniku.
Naročnina na Microsoft 365, ki vključuje SharePoint Online. Na primer, če imate Microsoft 365 E3, imate primerno licenco, tudi če ni dovoljena nobenemu uporabniku.
Če želite več informacij o teh načrtih, glejte temi Poiščite pravo rešitev za vas in Primerjava možnosti storitve SharePoint
Za izvajanje ukazov cmdlet PowerShell, opisanih v tej temi, se zahtevajo naslednje funkcije programske opreme:
Microsoft Prijava v spletne storitve pomočnik za IT strokovnjake Beta
Če želite namestiti modul MSOnlineExt, vnesite naslednji ukaz kot skrbnik seje modula PowerShell.
PS> Install-Module -Name "MSOnlineExt"
Pomembno
V času tega pisanja je prišlo do težave z različico RTW Microsoft Prijave v spletne storitve pomočnik za strokovnjake za IT. Dokler težava ni odpravljena, je priporočena uporaba različice Beta. Več informacij: Microsoft Azure Forumi: ni mogoče namestiti Microsoft Entra Modula za Windows PowerShell. MOSSIA ni nameščen.
Ustrezen tip preslikave preverjanja pristnosti na osnovi zahtevkov za preslikavo identitet med aplikacijami za interakcijo s strankami in mestom SharePoint na mestu uporabe. Privzeto je uporabljen e-poštni naslov. Več informacij: Podelitev dovoljenja aplikacijam za interakcijo s strankami za dostop do mesta SharePoint in konfiguracija preslikave preverjanja pristnosti na osnovi zahtevkov
Posodobite SharePoint Server SPN v Microsoft Entra Domain Services
V strežniku SharePoint na mestu uporabe v lupini za upravljanje mesta SharePoint 2013 zaženite te ukaze PowerShell v navedenem zaporedju.
Pripravite sejo PowerShell.
Z naslednjimi ukazi »cmdlet« v računalniku omogočite prejemanje oddaljenih ukazov in dodajte module Microsoft 365 v sejo PowerShell. Če želite več informacij o teh ukazih »cmdlet«, glejte temo Ukazi »cmdlet« za jedro lupine Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -force
Vzpostavite povezavo s storitvijo Microsoft 365.
Ko zaženete ukaz Connect-MsolService, morate zagotoviti veljaven Microsoft račun, ki ima globalno skrbniško članstvo za SharePoint Spletno licenco, ki je zahtevana.
Za podrobne informacije o vsakem ukazu Microsoft Entra IDPowerShell, navedenih tukaj, glejte Upravljanje Microsoft Entra uporabo lupine Windows PowerShell
$msolcred = get-credential connect-msolservice -credential $msolcred
Nastavite ime gostitelja za mesto SharePoint.
Vrednost, ki ste jo nastavili za spremenljivko HostName, mora biti celotno ime gostitelja zbirke mest SharePoint. Ime gostitelja mora biti izpeljano iz URL-ja zbirke mest ter razlikuje med velikimi in malimi črkami. V tem primeru je URL zbirke mest
<https://SharePoint.constoso.com/sites/salesteam>
, tako da je ime gostitelja SharePoint.contoso.com.$HostName = "SharePoint.contoso.com"
Pridobite ID objekta (najemnik) Microsoft 365 in glavno ime storitve (SPN) za mesto SharePoint.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNames
Nastavite SharePoint Server Service Principal Name (SPN) v Microsoft Entra ID.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Ko se ti ukazi dokončajo, lupine za upravljanje SharePoint 2013 ne zaprite, temveč nadaljujte na naslednji korak.
Posodobitev sfere SharePoint, da se ujema s sfero SharePoint Online
V strežniku SharePoint na mestu uporabe v lupini za upravljanje SharePoint 2013 zaženite ta ukaz Windows PowerShell.
Naslednji ukaz zahteva članstvo za skrbnika gruče SharePoint in nastavi sfero preverjanja pristnosti gruče SharePoint na mestu uporabe.
Pozor
S tem ukazom se spremeni sfera preverjanja pristnosti za gručo SharePoint na mestu uporabe. Pri aplikacijah, ki uporabljajo obstoječo storitev varnostnih žetonov (STS), lahko to povzroči nepričakovano vedenje z drugimi aplikacijami, ki uporabljajo žetone za dostop. Več informacij: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Ustvarite zaupanja vrednega izdajatelja varnostnega žetona za Microsoft Entra ID na SharePoint
V strežniku SharePoint na mestu uporabe v lupini za upravljanje mesta SharePoint 2013 zaženite te ukaze PowerShell v navedenem zaporedju.
Naslednji ukazi zahtevajo članstvo za skrbnika gruče SharePoint.
Če si želite ogledati podrobne informacije o teh ukazih PowerShell, glejte temo Uporaba ukazov »cmdlet« lupine Windows PowerShell za izvajanje zaščite v mestu SharePoint 2013.
Če želite izvesti spremembe v storitvi varnostnih žetonov za gručo SharePoint, omogočite sejo PowerShell.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Nastavite končno točko za metapodatke.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
Ustvarite nov posredniški strežnik storitve nadzora žetonov v Microsoft Entra ID.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
opomba,
Ukaz
New- SPAzureAccessControlServiceApplicationProxy
lahko vrne sporočilo o napaki, da proxy aplikacija z istim imenom že obstaja. Če imenovana proxy aplikacija že obstaja, lahko prezrete napako.Ustvarite novega izdajatelja storitve nadzora žetonov v SharePoint na mestu uporabe za Microsoft Entra ID.
$acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Podelitev dovoljenja aplikacijam za interakcijo s strankami za dostop do mesta SharePoint in konfiguracija preslikave preverjanja pristnosti na osnovi zahtevkov
V strežniku SharePoint na mestu uporabe v lupini za upravljanje mesta SharePoint 2013 zaženite te ukaze PowerShell v navedenem zaporedju.
Naslednji ukazi zahtevajo članstvo za skrbnika zbirke mest SharePoint.
Aplikacije za interakcijo s strankami registrirajte v zbirki mesta SharePoint.
Vnesite URL zbirke mest SharePoint na mestu uporabe. V tem primeru se uporablja https://sharepoint.contoso.com/sites/crm/.
Pomembno
Če želite ta ukaz dokončati, potrebujete obstoječo proxy aplikacijo storitev za upravljanje z aplikacijami mesta SharePoint, ki se izvaja. Če želite več informacij o tem, kako zagnati in konfigurirati storitev, glejte podtemo »Konfiguracija nastavitev za naročnine in aplikacij storitve za upravljanje aplikacij« v temi Konfiguracija okolja za aplikacije za mesto SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
Omogočite aplikacijam za interakcijo s strankami dostop do mesta SharePoint. Nadomestite https://sharepoint.contoso.com/sites/crm/ s svojim URL-jem mesta SharePoint.
opomba,
V naslednjem primeru je aplikacijam za interakcijo s strankami podeljeno dovoljenje za dostop do določene zbirke mest SharePoint na podlagi parametra »–Scope site collection«. Parameter obsega sprejema naslednje možnosti. Izberite obseg, ki je najprimernejši za vašo konfiguracijo SharePoint.
site
. Aplikacijam za interakcijo s strankami dodeli dovoljenje za dostop le do določenega spletnega mesta SharePoint. Ne podeli dovoljenja za dostop do vseh podmest, ki jih vključuje imenovano mesto.sitecollection
. Aplikacijam za interakcijo s strankami dodeli dovoljenje za dostop do vseh spletnih mest in podmest v določeni zbirki mesta SharePoint.sitesubscription
. Aplikacijam za interakcijo s strankami dodeli dovoljenje za dostop do vseh spletnih mest v gruči SharePoint, vključno z vsemi zbirkami mesta, spletnimi mesti in podmesti.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
Nastavite tip preslikave preverjanja pristnosti na osnovi zahtevkov.
Pomembno
Privzeto bo preverjanje pristnosti na podlagi zahtevkov preslikava uporabilo uporabnikov Microsoft e-poštni naslov računa in uporabnikov SharePoint na mestu uporabe službeni e-poštni naslov naslov za preslikava. Če uporabite to možnost, se morata e-poštna naslova uporabnika v obeh sistemih ujemati. Za več informacij glejte Izbira vrste preslikave preverjanja pristnosti na osnovi zahtevkov.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Zagon čarovnika za omogočanje strežniške integracije z mestom SharePoint
Upoštevajte ta navodila:
Preverite, ali imate ustrezno dovoljenje za zagon čarovnika. Več informacij: Zahtevana dovoljenja
Odprite možnost Nastavitve>Upravljanje dokumentov.
V območju Upravljanje dokumentov kliknite možnost Omogoči strežniško integracijo z mestom SharePoint.
Preglejte informacije in nato kliknite Naprej.
Za mesta SharePoint kliknite Na mestu uporabe in nato Naprej.
Vnesite URL zbirke mest SharePoint na mestu uporabe, kot je na primer https://sharepoint.contoso.com/sites/crm. Mesto mora biti konfigurirano za protokol SSL.
Kliknite Naprej.
Prikaže se razdelek za preverjanje veljavnosti mest. Če so vsa mesta določena za veljavna, kliknite možnost Omogoči. Če je eno ali več mest določenih za neveljavna, glejte Odpravljanje težav pri preverjanju pristnosti v strežniku.
Izbira entitet, ki jih želite vključiti v upravljanje dokumentov
Privzeto so vključene entitete Kupec, Članek, Možna stranka, Izdelek, Ponudba in Prodajna dokumentacija. Entitete, ki bodo uporabljene za upravljanje dokumentov z mestom SharePoint, lahko dodate ali odstranite v možnosti Nastavitve upravljanja dokumentov. Odprite možnost Nastavitve>Upravljanje dokumentov. Več informacij: Omogočanje upravljanja dokumentov v entitetah
Dodajanje integracije za OneDrive za podjetja
Ko dokončate konfiguracijo preverjanja pristnosti v strežniku aplikacij za interakcijo s strankami in mesta SharePoint na mestu uporabe, lahko integrirate tudi storitev OneDrive za podjetja. Z integracijo aplikacij za interakcijo s strankami in storitve OneDrive za podjetja lahko uporabniki ustvarijo in upravljajo zasebne dokumente s storitvijo OneDrive za podjetja. Do teh dokumentov lahko dostopate, ko sistemski skrbnik omogoči storitev OneDrive za podjetja.
Omogočanje OneDrive za podjetja
V strežniku Windows Server, kjer se izvaja strežnik SharePoint na mestu uporabe, odprite lupino za upravljanje mesta SharePoint in izvedite naslednje ukaze:
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Izbira tipa preslikave preverjanja pristnosti na osnovi zahtevkov
Privzeto bo preverjanje pristnosti na podlagi zahtevkov preslikava uporabilo uporabniški e-poštni naslov Microsoft računa in uporabniški SharePoint na mestu uporabe službeni e-poštni naslov za preslikava. Ne glede na uporabljen tip preverjanja pristnosti na osnovi zahtevkov se morajo vrednosti, kot so e-poštni naslovi, ujemati v aplikacijah za interakcijo s strankami in mestu SharePoint. Pri tem vam je lahko v pomoč sinhronizacija imenika Microsoft 365. Več informacij: Uvajanje sinhronizacije imenika Microsoft 365 v storitvi Microsoft Azure. Za uporabo druge vrste preslikave preverjanja pristnosti na osnovi zahtevkov glejte Določanje preslikave zahtevka po meri za strežniško integracijo z mestom SharePoint.
Pomembno
Če želite omogočiti lastnost »Službeni e-poštni naslov«, mora imeti mesto SharePoint na mestu uporabe konfigurirano in zagnano storitveno aplikacijo uporabniškega profila. Če želite storitveno aplikacijo uporabniškega profila omogočiti v mestu SharePoint, glejte temo Ustvarjanje, urejanje ali brisanje storitvenih aplikacij uporabniškega profila v mestu SharePoint Server 2013. Če želite spremeniti uporabniško lastnost, npr. Službeni e-poštni naslov, glejte temo Urejanje lastnosti uporabniškega profila. Če želite več informacij o storitveni aplikaciji uporabniškega profila, glejte temo Pregled storitvene aplikacije uporabniškega profila v mestu SharePoint Server 2013.
Glejte tudi
Odpravljanje težav s preverjanjem pristnosti na osnovi strežnika
Nastavite SharePoint integracijo z aplikacijami za sodelovanje strank