Konfigurisanje potvrde identiteta zasnovane na serveru pomoću usluge SharePoint lokalno

SharePoint integracija zasnovana na serveru za upravljanje dokumentima može se koristiti za povezivanje aplikacija za angažovanje klijenata (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing i Dynamics 365 Project Service Automation) sa sistemom SharePoint lokalno. Kada koristite potvrdu identiteta zasnovanu na serveru, Microsoft Entra Usluge domena se koriste kao broker pouzdanosti i korisnici ne moraju da se prijave SharePoint.

Neophodne dozvole

Za omogućavanje upravljanja SharePoint dokumentima potrebna su sledeća članstva i privilegije.

• Članstvo Microsoft 365 globalnog administratora – ovo je potrebno za:

  • Pristup Microsoft 365 pretplati na administrativnom nivou.
  • Pokretanje čarobnjaka za omogućavanje potvrde identiteta zasnovane na serveru.
  • Pokretanje AzurePowerShell cmdlet komandi.

• Power Apps privilegija za pokretanje čarobnjaka za SharePoint integraciju. To je neophodno za pokretanje čarobnjaka za omogućavanje potvrde identiteta zasnovane na serveru.

  Podrazumevano, bezbednosna uloga administratora sistema ima ovu privilegiju.

• Za SharePoint lokalnu integraciju, članstvo u grupi administratora SharePoint farme. Ovo je potrebno za pokretanje većine PowerShell komandi na SharePoint serveru.

Konfigurisanje potvrde identiteta sa servera na server pomoću usluge SharePoint lokalno

Pratite korake navedenim redosledom da biste podesili aplikacije za angažovanje klijenata sa uslugom SharePoint 2013 lokalno.

Važno

Koraci koji su ovde opisani moraju da se obave navedenim redosledom. Ako zadatak nije obavljen, na primer, ako PowerShell komanda vraća poruku o grešci, problem mora da se reši pre nego što nastavite dalje na sledeću komandu, zadatak ili korak.

Proverite da li postoje preduslovi

Da biste mogli da konfigurišete aplikacije za angažovanje klijenata i lokalnu uslugu SharePoint za potvrdu identiteta zasnovanu na serveru, sledeći preduslovi moraju biti ispunjeni:

SharePoint preduslovi

• SharePoint 2013 (lokalno) sa servisnim paketom 1 (SP1) ili novija verzija

  Važno

  SharePoint Foundation 2013 verzije nisu podržane za korišćenje sa upravljanjem dokumentima u aplikacijama za angažovanje klijenata.

• Instalirajte kumulativnu ispravku za april 2019. za SharePoint porodicu proizvoda iz 2013. Ova kumulativna ispravka za april 2019. uključuje sve popravke za SharePoint iz 2013. (uključujući sve bezbednosne popravke za SharePoint iz 2013) koje su objavljene nakon SP1. Kumulativna ispravka za april 2019 ne uključuje SP1. Morate instalirati SP1 pre nego što instalirate kumulativnu ispravku za april 2019. Još informacija: KB4464514 kumulativna ispravka za SharePoint Server 2013 iz aprila 2019.

• Konfiguracija rešenja SharePoint

  • Ako koristite SharePoint 2013, za svaku SharePoint farmu, samo jedna aplikacija za angažovanje klijenata može biti konfigurisana za integraciju koja se zasniva na serveru.

  • SharePoint veb-lokaciji mora da se pristupa preko interneta. Za potvrdu identiteta u usluzi SharePoint može biti neophodan obrnuti proxy. Još informacija: Konfigurisanje uređaja koji funkcioniše kao obrnuti proxy za SharePoint Server 2013 – hibridnu verziju

  • SharePoint veb-lokacija mora da se konfiguriše tako da koristi SSL (HTTPS) na TCP portu 443 (nisu podržani prilagođeni portovi), a certifikat mora da izda dobavljač nadležan za izdavanje javnih osnovnih certifikata. Još informacija: SharePoint: O SSL certifikatima za bezbedni kanal

  • Svojstvo pouzdanog korisnika koje se koristi za mapiranje prijavljivanja uz pomoć tokena između usluge SharePoint i aplikacija za angažovanje klijenata. Još informacija: Izbor tipa mapiranja zahteva

  • Za deljenje dokumenata, mora biti omogućena SharePoint usluga pretrage. Još informacija: Kreiranje i konfigurisanje aplikacije usluge za pretragu u sistemu SharePoint Server

  • Za funkcionalnost upravljanja dokumentima prilikom korišćenja na Dynamics 365 aplikacijama za mobilne uređaje, lokalni SharePoint server mora biti dostupan putem interneta.

Drugi preduslovi

• Licenca za SharePoint Online. Aplikacije za angažovanje klijenata na SharePoint lokalni servera moraju imati registrovano SharePoint glavno ime usluge (SPN) u Microsoft Entra ID-u. Da biste to postigli, obavezna je bar jedna korisnička licenca za SharePoint Online. SharePoint Online licenca može da bude izvedena iz jedne korisničke licence i obično potiče od jedne od sledećih:

  • Pretplata na SharePoint Online. Svaki SharePoint Online plan je dovoljan čak i ako licenca nije dodeljena korisniku.

  • Microsoft 365 pretplata koja obuhvata SharePoint Online. Na primer, ako imate Microsoft 365 E3, imate odgovarajuće licenciranje čak i ako licenca nije dodeljena korisniku.

    Za više informacija o ovim planovima, pogledajte članke Pronađite pravo rešenje za vas i Poređenje SharePoint opcija

• Sledeće softverske funkcije su neophodne za pokretanje PowerShell cmdlet komandi opisanih u ovoj temi.

  • Microsoft Online Services Sign-In Assistant za IT stručnjake, Beta verzija

  • MSOnlineExt

  • Da biste instalirali modul MSOnlineExt, unesite sledeću komandu iz sesije PowerShell administratora. PS> Install-Module -Name "MSOnlineExt"

  Važno

  Do trenutka nastanka ovog teksta, postojao je problem sa RTW verzijom aplikacije Microsoft Online Services Sign-In Assistant za IT stručnjake. Dok se taj problem ne reši, preporučujemo vam da koristite Beta verziju. Više informacija: Microsoft Azure Forumi: Nije moguće instalirati Microsoft Entra modul za Windows PowerShell. MOSSIA nije instalirana.

• Odgovarajući tip mapiranja prijavljivanja uz pomoć tokena koji treba da se koristi za mapiranje identiteta između aplikacija za angažovanje klijenata i lokalne aplikacije SharePoint. Podrazumevano se koristi e-adresa. Još informacija: Odobrenje dozvole aplikacijama za angažovanje klijenata za pristup usluzi SharePoint i konfigurisanje mapiranja prijavljivanja uz pomoć tokena

SharePoint Ažuriranje SPN servera u uslugama Microsoft Entra domena

Na lokalnom SharePoint serveru, u okviru SharePoint 2013 Management Shell, pokrenite ove PowerShell komande u datom redosledu.

1. Pripremite PowerShell sesiju.

   Sledeće cmdlet komande omogućavaju računaru da prima daljinske komande i da dodaje Microsoft 365 module u PowerShell sesiju. Više informacija o ovim cmdlet komandama potražite u odeljku Windows PowerShell osnovne cmdlet komande.

   Enable-PSRemoting -force  
   New-PSSession  
   Import-Module MSOnline -force  
   Import-Module MSOnlineExtended -force  
   

2. Povezivanje sa uslugom Microsoft 365.

   Kada pokrenete komandu „Connect-MsolService“, morate da navedete važeći Microsoft nalog koji ima članstvo u globalnim administratorima za SharePoint Online licencu koja je obavezna.

   Detaljne informacije o svakoj od Microsoft Entra IDPowerShell komandi navedenih ovde potražite u članku Upravljanje pomoću Microsoft Entra programa Windows PowerShell

   $msolcred = get-credential  
   connect-msolservice -credential $msolcred  
   

3. Podesite ime SharePoint hosta.

   Vrednost koju podešavate za varijablu HostName mora biti celo ime hosta SharePoint kolekcije lokacija. Ime hosta mora biti izvedeno iz URL adrese kolekcije lokacija i razlikuje mala i velika slova. U ovom primeru, URL adresa kolekcije lokacije je <https://SharePoint.constoso.com/sites/salesteam>, tako da ime hosta glasi SharePoint.contoso.com.

   $HostName = "SharePoint.contoso.com"  
   

4. Preuzmite ID Microsoft 365 objekta (zakupca) i SharePoint Server glavno ime usluge (SPN).

   $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
   $SPOContextId = (Get-MsolCompanyInformation).ObjectID  
   $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
   $ServicePrincipalName = $SharePoint.ServicePrincipalNames  
   

5. Postavite glavno SharePoint ime usluge servera (SPN) u Microsoft Entra ID.

   $ServicePrincipalName.Add("$SPOAppId/$HostName")   
   Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName  
   

   Kada se izvršavanje ovih komandi završi, nemojte zatvarati SharePoint 2013 Management Shell i nastavite na sledeći korak.

Ažurirajte SharePoint područje da bi se podudaralo sa područjem usluge SharePoint Online

Na lokalnom SharePoint serveru, u okviru SharePoint 2013 Management Shell, pokrenite ovu Windows PowerShell komandu.

Sledeća komanda zahteva članstvo u grupi administratora SharePoint farme i podešava matično područje potvrde identiteta za lokalnu SharePoint farmu.

Pažnja

Pokretanjem ove komande se menja matično područje potvrde identiteta za lokalnu SharePoint farmu. Za aplikacije koje koriste postojeći servis za izdavanje tokena (STS), to može da dovede do neočekivanog ponašanja kod drugih aplikacija koje koriste tokene za pristup. Još informacija: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId  

Kreiranje pouzdanog izdavača bezbednosnih tokena za Microsoft Entra ID na SharePoint

Na lokalnom SharePoint serveru, u okviru SharePoint 2013 Management Shell, pokrenite ove PowerShell komande u datom redosledu.

Sledeća komanda zahteva članstvo u grupi administratora SharePoint farme.

Detaljne informacije o ovim PowerShell komandama potražite u odeljku Upotreba Windows PowerShell cmdlet komandi za administriranje bezbednosti u usluzi SharePoint 2013.

1. Omogućite PowerShell sesiju da biste izvršili promene u servisu za izdavanje tokena za SharePoint farmu.

   $c = Get-SPSecurityTokenServiceConfig  
   $c.AllowMetadataOverHttp = $true  
   $c.AllowOAuthOverHttp= $true  
   $c.Update()  
   

2. Podesite krajnju tačku metapodataka.

   $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
   $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
   $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId  
   

3. Kreirajte novi proxy server aplikacije za kontrolu tokena u Microsoft Entra ID-u.

   New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup  
   

   Belešku

   Komanda New- SPAzureAccessControlServiceApplicationProxy može da vrati poruku o grešci u kojoj se navodi da već postoji proxy server aplikacije sa istim imenom. Ako imenovani proxy server aplikacije već postoji, možete da zanemarite ovu grešku.

4. Kreirajte novi izdavač usluge kontrole simbola u SharePoint programu lokalni za Microsoft Entra ID.

   $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer  
   

Odobrenje dozvole aplikacijama za angažovanje klijenata za pristup usluzi SharePoint i konfigurisanje mapiranja prijavljivanja uz pomoć tokena

Na lokalnom SharePoint serveru, u okviru SharePoint 2013 Management Shell, pokrenite ove PowerShell komande u datom redosledu.

Sledeća komanda zahteva članstvo u grupi administratora SharePoint kolekcije lokacija.

1. Registrujte aplikacije za angažovanje klijenata u SharePoint kolekciji lokacija.

   Unesite URL adresu kolekcije lokacija lokalne usluge SharePoint. U ovom primeru, koristi se https://sharepoint.contoso.com/sites/crm/.

   Važno

   Da biste dovršili ovu komandu, proxy uslužne aplikacije za upravljanje aplikacijom SharePoint mora da postoji i da bude pokrenut. Još informacija o pokretanju i konfigurisanju usluge potražite u podtemi „Konfigurisanje postavki pretplate i uslužne aplikacije za upravljanje aplikacijama“ u okviru teme Konfigurisanje okruženja za aplikacije za SharePoint (SharePoint 2013).

   $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
   Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"  
   

2. Odobrite aplikacijama za angažovanje klijenata pristup SharePoint lokaciji. Zamenite https://sharepoint.contoso.com/sites/crm/ sa vašom SharePoint URL adresom lokacije.

   Belešku

   U sledećem primeru, aplikaciji za angažovanje klijenata je odobren pristup određenoj SharePoint kolekciji lokacija korišćenjem parametra –Scope kolekcije lokacija. Parametar opsega prihvata sledeće opcije. Odaberite opseg koji najviše odgovara vašoj SharePoint konfiguraciji.

   • site. Dodeljuje aplikacijama za angažovanje klijenata dozvolu za pristup samo određenoj SharePoint veb-lokaciji. Ne odobrava pristup nijednoj podlokaciji u okviru imenovane lokacije.
     • sitecollection. Dodeljuje aplikacijama za angažovanje klijenata dozvolu za pristup svim veb-lokacijama i podlokacijama u okviru određene SharePoint kolekcije lokacija.
     • sitesubscription. Dodeljuje aplikacijama za angažovanje klijenata dozvolu za pristup svim veb-lokacijama u okviru SharePoint farme, uključujući sve kolekcije lokacija, veb-lokacije i podlokacije.

   $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
   Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"  
   

3. Podesite tip mapiranja prijavljivanja uz pomoć tokena.

   Važno

   Mapiranje prijavljivanja uz pomoć tokena će podrazumevano koristiti e-adresu Microsoft naloga korisnika i SharePoint On-Premises poslovnu e-adresu korisnika radi mapiranja. Kada koristite taj način, e-adresa korisnika mora biti ista u oba sistema. Više informacija potražite u članku Izbor tipa mapiranja prijavljivanja uz pomoć tokena.

   $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming  
   

Pokretanje čarobnjaka za omogućavanje SharePoint integracije koja se zasniva na serveru

Sledite ove korake:

1. Proverite da li imate odgovarajuću dozvolu za pokretanje čarobnjaka. Još informacija: Potrebne dozvole

2. Idite na stavku Postavke>Upravljanje dokumentima.

3. U oblasti Upravljanje dokumentima kliknite na Omogući SharePoint integraciju koja se zasniva na serveru.

4. Pregledajte informacije, a zatim kliknite na dugme Dalje.

5. Za SharePoint lokacije, kliknite na stavku Lokalno, a zatim kliknite na opciju Sledeće.

6. Unesite SharePoint URL adresu kolekcije lokalne lokacije, kao što je https://sharepoint.contoso.com/sites/crm. Lokacija mora biti konfigurisana za SSL.

7. Izaberite stavku Dalje.

8. Pojaviće se odeljak za proveru valjanosti lokacija. Ako se utvrdi da su sve lokacije važeće, kliknite na dugme Omogući. Ako se utvrdi da su neke lokacije nevažeće, pogledajte Rešavanje problema sa proverom identiteta pomoću servera.

Izbor entiteta koje želite da uključite u upravljanje dokumentima

Prema podrazumevanim podešavanjima, uključeni su entiteti „Poslovni kontakt“, „Članak“, „Potencijalni klijent“, „Proizvod“, „Ponuda“ i „Prodajna literatura“. Možete da dodajete i uklanjate entitete koji će se koristiti u upravljanju dokumentima uz SharePoint u Postavkama upravljanja dokumentima. Idite na stavku Postavke>Upravljanje dokumentima. Još informacija: Omogućavanje upravljanja dokumentima za entitete

Dodajte integraciju sa uslugom OneDrive for Business

Kada dovršite konfigurisanje potvrde identiteta zasnovane na serveru za aplikacije za angažovanje klijenata i lokalnu uslugu SharePoint, možete da integrišete i OneDrive for Business. U okviru integracije aplikacija za angažovanje klijenata i usluge OneDrive for Business, korisnici mogu da kreiraju privatne dokumente i upravljaju njima koristeći OneDrive for Business. Ovim dokumentima možete da pristupate kada administrator sistema omogući OneDrive for Business.

Omogući OneDrive for Business

Na platformi Windows Server na kojoj je pokrenut lokalni SharePoint Server, otvorite SharePoint Management Shell i pokrenite sledeće komande:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()  
  

Izbor tipa mapiranja prijavljivanja uz pomoć tokena

Mapiranje prijavljivanja uz pomoć tokena će podrazumevano koristiti e-adresu Microsoft naloga korisnika i SharePoint On-premises poslovnu e-adresu korisnika radi mapiranja. Imajte na umu to da bez obzira na to koji tip prijavljivanja uz pomoć tokena koristite, vrednosti kao što su e-adrese moraju da budu iste u aplikacijama za angažovanje klijenata i sistemu SharePoint. Microsoft 365 sinhronizacija direktorijuma vam može pomoći u tome. Još informacija: Primena Microsoft 365 sinhronizacije direktorijuma u usluzi Microsoft Azure. Da biste koristili drugu tip mapiranja prijavljivanja uz pomoć tokena, pogledajte Definišite mapiranje prilagođenih zahteva za SharePoint integraciju zasnovanu na serveru.

Važno

Da biste omogućili svojstvo „Poslovna e-adresa“, lokalna aplikacija SharePoint mora da ima konfigurisanu i pokrenutu uslužnu aplikaciju za korisnički profil. Da biste omogućili uslužnu aplikaciju za korisnički profil u aplikaciji SharePoint, pogledajte odeljak Kreiranje, uređivanje ili brisanje uslužnih aplikacija za korisnički profil u sistemu SharePoint Server 2013. Da biste promenili korisničko svojstvo, kao što je poslovna e-adresa, pogledajte odeljak Uređivanje svojstva korisničkog profila. Još informacija o uslužnoj aplikaciji za korisnički profil potražite u temi Pregled uslužne aplikacije za korisnički profil u sistemu SharePoint Server 2013.

Takođe pogledajte

Rešavanje problema sa potvrdom identiteta zasnovanoj na serveru
Podešavanje SharePoint integracije sa aplikacijama za angažovanje klijenata