Конфигурисање потврде идентитета засноване на серверу помоћу услуге SharePoint локално

SharePoint интеграција која се заснива на серверу за управљање документима може се користити за повезивање апликација за ангажовање клијената (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing и Dynamics 365 Project Service Automation) са системом SharePoint локално. Када користите потврду идентитета засновану на серверу, Microsoft Entra Услуге домена се користе као брокер поузданости и корисници не морају да се пријаве SharePoint.

Неопходне дозволе

За омогућавање управљања SharePoint документима потребна су следећа чланства и привилегије.

• Чланство Microsoft 365 глобалног администратора – ово је потребно за:

  • Приступ Microsoft 365 претплати на административном нивоу.
  • Покретање чаробњака за омогућавање потврде идентитета засноване на серверу.
  • Покретање AzurePowerShell cmdlet команди.

• Power Apps привилегија за покретање чаробњака за SharePoint интеграцију. То је неопходно за покретање чаробњака за омогућавање потврде идентитета засноване на серверу.

  Подразумевано, безбедносна улога администратора система има ову привилегију.

• За SharePoint локалну интеграцију, чланство у групи администратора SharePoint фарме. Ово је потребно за покретање већине PowerShell команди на SharePoint серверу.

Конфигурисање потврде идентитета засноване на серверу помоћу услуге SharePoint локално

Пратите кораке наведеним редоследом да бисте подесили апликације за ангажовање клијената са услугом SharePoint 2013 локално.

Важно

Кораци који су овде описани морају да се обаве наведеним редоследом. Ако задатак није обављен, на пример, ако PowerShell команда враћа поруку о грешци, проблем мора да се реши пре него што наставите даље на следећу команду, задатак или корак.

Проверите да ли постоје предуслови

Да бисте могли да конфигуришете апликације за ангажовање клијената и локалну услугу SharePoint за потврду идентитета засновану на серверу, следећи предуслови морају бити испуњени:

SharePoint предуслови

• SharePoint 2013 (локално) са сервисним пакетом 1 (SP1) или новија верзија

  Важно

  SharePoint Foundation 2013 верзије нису подржане за коришћење са управљањем документима у апликацијама за ангажовање клијената.

• Инсталирајте кумулативну исправку за април 2019. за SharePoint породицу производа из 2013. Ова кумулативна исправка за април 2019. укључује све поправке за SharePoint из 2013. (укључујући све безбедносне поправке за SharePoint из 2013) које су објављене након SP1. Кумулативна исправка за април 2019 не укључује SP1. Морате инсталирати SP1 пре него што инсталирате кумулативну исправку за април 2019. Још информација: KB4464514 кумулативна исправка за SharePoint Server 2013 из априла 2019.

• Конфигурација решења SharePoint

  • Ако користите SharePoint 2013, за сваку SharePoint фарму, само једна апликација за ангажовање клијената може бити конфигурисана за интеграцију која се заснива на серверу.

  • SharePoint веб-локацији мора да се приступа преко интернета. За потврду идентитета у услузи SharePoint може бити неопходан обрнути proxy. Још информација: Конфигурисање уређаја који функционише као обрнути proxy за SharePoint Server 2013 – хибридну верзију

  • SharePoint веб-локација мора да се конфигурише тако да користи SSL (HTTPS) на TCP порту 443 (нису подржани прилагођени портови), а цертификат мора да изда добављач надлежан за издавање јавних основних цертификата. Још информација: SharePoint: О SSL цертификатима за безбедни канал

  • Својство поузданог корисника које се користи за мапирање пријављивања уз помоћ токена између услуге SharePoint и апликација за ангажовање клијената. Још информација: Избор типа мапирања захтева

  • За дељење докумената, мора бити омогућена SharePoint услуга претраге. Још информација: Креирање и конфигурисање апликације услуге за претрагу у систему SharePoint Server

  • За функционалност управљања документима приликом коришћења на Dynamics 365 апликацијама за мобилне уређаје, локални SharePoint сервер мора бити доступан путем интернета.

Други предуслови

• Лиценца за SharePoint Online. Апликације за ангажовање клијената на SharePoint локални сервера морају имати регистровано SharePoint главно име услуге (СПН) у Microsoft Entra ИД-у. Да бисте то постигли, обавезна је бар једна корисничка лиценца за SharePoint Online. SharePoint Online лиценца може да буде изведена из једне корисничке лиценце и обично потиче од једне од следећих:

  • Претплата на SharePoint Online. Сваки SharePoint Online план је довољан чак и ако лиценца није додељена кориснику.

  • Microsoft 365 претплата која обухвата SharePoint Online. На пример, ако имате Microsoft 365 E3, имате одговарајуће лиценцирање чак и ако лиценца није додељена кориснику.

    За више информација о овим плановима, погледајте чланке Пронађите право решење за вас и Поређење SharePoint опција

• Следеће софтверске функције су неопходне за покретање PowerShell cmdlet команди описаних у овој теми.

  • Microsoft Online Services Sign-In Assistant за IT стручњаке, Бета верзија

  • MSOnlineExt

  • Да бисте инсталирали модул MSOnlineExt, унесите следећу команду из сесије PowerShell администратора. PS> Install-Module -Name "MSOnlineExt"

  Важно

  До тренутка настанка овог текста, постојао је проблем са RTW верзијом апликације Microsoft Online Services Sign-In Assistant за ИТ стручњаке. Док се тај проблем не реши, препоручујемо вам да користите Бета верзију. Више информација: Microsoft Azure Форуми: Није могуће инсталирати Microsoft Entra модул за Wиндоwс ПоwерСхелл. МОССИА није инсталирана.

• Одговарајући тип мапирања пријављивања уз помоћ токена који треба да се користи за мапирање идентитета између апликација за ангажовање клијената и локалне апликације SharePoint. Подразумевано се користи е-адреса. Још информација: Одобрење дозволе апликацијама за ангажовање клијената за приступ услузи SharePoint и конфигурисање мапирања пријављивања уз помоћ токена

SharePoint Ажурирање СПН сервера у услугама Microsoft Entra домена

На локалном SharePoint серверу, у оквиру SharePoint 2013 Management Shell, покрените ове PowerShell команде у датом редоследу.

1. Припремите PowerShell сесију.

   Следеће cmdlet команде омогућавају рачунару да прима даљинске команде и да додаје Microsoft 365 модуле у PowerShell сесију. Више информација о овим cmdlet командама потражите у одељку Windows PowerShell основне cmdlet команде.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Повезивање са услугом Microsoft 365.

   Када покренете команду „Connect-MsolService“, морате да наведете важећи Microsoft налог који има чланство у глобалним администраторима за SharePoint Online лиценцу која је обавезна.

   Детаљне информације о свакој од Microsoft Entra ИДПоwерСхелл команди наведених овде потражите у чланку Управљање помоћу Microsoft Entra програма Wиндоwс ПоwерСхелл

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Подесите име SharePoint хоста.

   Вредност коју подешавате за варијаблу HostName мора бити цело име хоста SharePoint колекције локација. Име хоста мора бити изведено из URL адресе колекције локација и разликује мала и велика слова. У овом примеру, URL адреса колекције локације је <https://SharePoint.constoso.com/sites/salesteam>, тако да име хоста гласи SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Преузмите ID Microsoft 365 објекта (закупца) и SharePoint Server главно име услуге (SPN).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Поставите главно SharePoint име услуге сервера (СПН) у Microsoft Entra ИД.

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Када се извршавање ових команди заврши, немојте затварати SharePoint 2013 Management Shell и наставите на следећи корак.

Ажурирајте SharePoint подручје да би се подударало са подручјем услуге SharePoint Online

На локалном SharePoint серверу, у оквиру SharePoint 2013 Management Shell, покрените ову Windows PowerShell команду.

Следећа команда захтева чланство у групи администратора SharePoint фарме и подешава матично подручје потврде идентитета за локалну SharePoint фарму.

Пажња

Покретањем ове команде се мења матично подручје потврде идентитета за локалну SharePoint фарму. За апликације које користе постојећи сервис за издавање токена (STS), то може да доведе до неочекиваног понашања код других апликација које користе токене за приступ. Још информација: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Креирање поузданог издавача безбедносних токена за Microsoft Entra ИД на SharePoint

На локалном SharePoint серверу, у оквиру SharePoint 2013 Management Shell, покрените ове PowerShell команде у датом редоследу.

Следећа команда захтева чланство у групи администратора SharePoint фарме.

Детаљне информације о овим PowerShell командама потражите у одељку Употреба Windows PowerShell cmdlet команди за администрирање безбедности у услузи SharePoint 2013.

1. Омогућите PowerShell сесију да бисте извршили промене у сервису за издавање токена за SharePoint фарму.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Подесите крајњу тачку метаподатака.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Креирајте нови проxy сервер апликације за контролу токена у Microsoft Entra ИД-у.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Белешка

   Команда New- SPAzureAccessControlServiceApplicationProxy може да врати поруку о грешци у којој се наводи да већ постоји proxy сервер апликације са истим именом. Ако именовани proxy сервер апликације већ постоји, можете да занемарите ову грешку.

4. Креирајте нови издавач услуге контроле симбола у SharePoint програму локални за Microsoft Entra ИД.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Одобрење дозволе апликацијама за ангажовање клијената за приступ услузи SharePoint и конфигурисање мапирања пријављивања уз помоћ токена

На локалном SharePoint серверу, у оквиру SharePoint 2013 Management Shell, покрените ове PowerShell команде у датом редоследу.

Следећа команда захтева чланство у групи администратора SharePoint колекције локација.

1. Региструјте апликације за ангажовање клијената у SharePoint колекцији локација.

   Унесите URL адресу колекције локација локалне услуге SharePoint. У овом примеру, користи се https://sharepoint.contoso.com/sites/crm/.

   Важно

   Да бисте довршили ову команду, proxy услужне апликације за управљање апликацијом SharePoint мора да постоји и да буде покренут. Још информација о покретању и конфигурисању услуге потражите у подтеми „Конфигурисање поставки претплате и услужне апликације за управљање апликацијама“ у оквиру теме Конфигурисање окружења за апликације за SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Одобрите апликацијама за ангажовање клијената приступ SharePoint локацији. Замените https://sharepoint.contoso.com/sites/crm/ са вашом SharePoint URL адресом локације.

   Белешка

   У следећем примеру, апликацији за ангажовање клијената је одобрен приступ одређеној SharePoint колекцији локација коришћењем параметра –Scope колекције локација. Параметар опсега прихвата следеће опције. Одаберите опсег који највише одговара вашој SharePoint конфигурацији.

   • site. Додељује апликацијама за ангажовање клијената дозволу за приступ само одређеној SharePoint веб-локацији. Не одобрава приступ ниједној подлокацији у оквиру именоване локације.
     • sitecollection. Додељује апликацијама за ангажовање клијената дозволу за приступ свим веб-локацијама и подлокацијама у оквиру одређене SharePoint колекције локација.
     • sitesubscription. Додељује апликацијама за ангажовање клијената дозволу за приступ свим веб-локацијама у оквиру SharePoint фарме, укључујући све колекције локација, веб-локације и подлокације.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Подесите тип мапирања пријављивања уз помоћ токена.

   Важно

   Мапирање пријављивања уз помоћ токена ће подразумевано користити е-адресу Microsoft налога корисника и SharePoint On-Premises пословну е-адресу корисника ради мапирања. Када користите тај начин, е-адреса корисника мора бити иста у оба система. Више информација потражите у чланку Избор типа мапирања пријављивања уз помоћ токена.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Покретање чаробњака за омогућавање SharePoint интеграције која се заснива на серверу

Пратите ове кораке:

1. Проверите да ли имате одговарајућу дозволу за покретање чаробњака. Још информација: Потребне дозволе

2. Идите на ставку Поставке>Управљање документима.

3. У области Управљање документима кликните на Омогући SharePoint интеграцију која се заснива на серверу.

4. Прегледајте информације, а затим кликните на дугме Даље.

5. За SharePoint локације, кликните на ставку Локално, а затим кликните на опцију Следеће.

6. Унесите SharePoint URL адресу колекције локалне локације, као што је https://sharepoint.contoso.com/sites/crm. Локација мора бити конфигурисана за SSL.

7. Кликните на дугме Даље.

8. Појавиће се одељак за проверу ваљаности локација. Ако се утврди да су све локације важеће, кликните на дугме Омогући. Ако се утврди да су неке локације неважеће, погледајте Решавање проблема са провером идентитета помоћу сервера.

Избор ентитета које желите да укључите у управљање документима

Према подразумеваним поставкама, укључени су ентитети „Пословни контакт“, „Чланак“, „Потенцијални клијент“, „Производ“, „Понуда“ и „Продајна литература“. Можете да додајете и уклањате ентитете који ће се користити у управљању документима уз SharePoint у Подешавањима управљања документима. Идите на ставку Поставке>Управљање документима. Још информација: Омогућавање управљања документима за ентитете

Додајте интеграцију са услугом OneDrive for Business

Када довршите конфигурисање потврде идентитета засноване на серверу за апликације за ангажовање клијената и локалну услугу SharePoint, можете да интегришете и OneDrive for Business. У оквиру интеграције апликација за ангажовање клијената и услуге OneDrive for Business, корисници могу да креирају приватне документе и управљају њима користећи OneDrive for Business. Овим документима можете да приступате када администратор система омогући OneDrive for Business.

Омогући OneDrive for Business

На платформи Windows Server на којој је покренут локални SharePoint Server, отворите SharePoint Management Shell и покрените следеће команде:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Избор типа мапирања пријављивања уз помоћ токена

Мапирање пријављивања уз помоћ токена ће подразумевано користити е-адресу Microsoft налога корисника и пословну е-адресу корисника локалне услуге SharePoint ради мапирања. Имајте на уму то да без обзира на то који тип пријављивања уз помоћ токена користите, вредности као што су е-адресе морају да буду исте у апликацијама за ангажовање клијената и систему SharePoint. Microsoft 365 синхронизација директоријума вам може помоћи у томе. Још информација: Примена Microsoft 365 синхронизације директоријума у услузи Microsoft Azure. Да бисте користили другу тип мапирања пријављивања уз помоћ токена, погледајте Дефинишите мапирање прилагођених захтева за SharePoint интеграцију која се заснива на серверу.

Важно

Да бисте омогућили својство „Пословна е-адреса“, локална апликација SharePoint мора да има конфигурисану и покренуту услужну апликацију за кориснички профил. Да бисте омогућили услужну апликацију за кориснички профил у апликацији SharePoint, погледајте одељак Креирање, уређивање или брисање услужних апликација за кориснички профил у систему SharePoint Server 2013. Да бисте променили корисничко својство, као што је пословна е-адреса, погледајте одељак Уређивање својства корисничког профила. Још информација о услужној апликацији за кориснички профил потражите у теми Преглед услужне апликације за кориснички профил у систему SharePoint Server 2013.

Такође погледајте

Решавање проблема са потврдом идентитета заснованој на серверу
Подешавање SharePoint интеграције са апликацијама за ангажовање клијената