Поділитися через

Налаштування серверної автентифікації за допомогою Customer Engagement (on-premises) і локальної версії SharePoint

  • Стаття

Нотатка

Якщо ви ввімкнули єдиний інтерфейс режим only, перед використанням процедур, описаних у цій статті, виконайте такі дії:

  1. Виберіть Налаштування (Кнопка шестерні.) на панелі навігації.
  2. Виберіть Додаткові параметри.

    Розширені налаштування.

У цьому розділі описано, як налаштувати серверну інтеграцію між Dynamics 365 Customer Engagement (on-premises) і Microsoft SharePoint On-Premises.

Настройте серверну інтеграцію із Customer Engagement (on-premises) і SharePoint

Виконуйте інструкції в порядку, передбаченому для настроювання програм Customer Engagement (on-premises) з Microsoft SharePoint Server On-Premises.

Важливо

  • Команди PowerShell слід запускати в режимі адміністратора. Дивіться: Як запустити PowerShell?
  • Якщо завдання не завершено, наприклад під час виконання команди PowerShell з’являється повідомлення про помилку, перш ніж перейти до наступної команди, завдання чи кроку, необхідно вирішити проблему.
  • Після увімкнення серверної інтеграції із SharePoint до попереднього методу клієнтської автентифікації повернутися буде неможливо. Тому ви не можете використовувати компонент списку Microsoft Dynamics CRM після налаштування організації Customer Engagement (on-premises) для серверної інтеграції SharePoint.

Перевірка необхідних компонентів

Перед настроюванням Customer Engagement (on-premises) і SharePoint локальні версії для серверної інтеграції, зазначені нижче передумови повинні бути виконані.

Необхідні дозволи

Customer Engagement (on-premises)

  • Роль безпеки «Системний адміністратор» — ця роль є необхідною для запуску майстра серверної інтеграції SharePoint у Customer Engagement (on-premises).

  • Якщо використовується сертифікат із власним підписом для ознайомлювальних цілей, ви повинні бути учасником локальної групи адміністраторів на комп’ютері, де працює Dynamics 365 Server.

SharePoint локальний

  • Членство у групі адміністраторів ферми — це потрібно, щоб запускати більшість команд Windows PowerShell на сервері SharePoint.

Попередні вимоги SharePoint

  • Одна із таких версій SharePoint:

    • Випуск передплати на службу Sharepoint.

    • SharePoint 2019 On-Premises.

      Для серверної інтеграції між Dynamics 365 Customer Engagement (on-premises) Microsoft SharePoint 2019 локальний потрібне Microsoft Dynamics 365 Server оновлення версії 9.0 (локальний) 0.13 або пізнішої версії.

    • SharePoint 2016 On-Premises.

    • Microsoft SharePoint 2013 On-Premises з пакетом оновлень 1 (SP1) або пізнішої версії із такими оновленнями.

      • Інсталюйте сукупне оновлення за квітень 2019 для сімейства продуктів SharePoint 2013. Сукупне оновлення за квітень 2019 містить усі виправлення SharePoint 2013 (зокрема усі виправлення безпеки SharePoint 2013), які було випущено після SP1. Сукупне оновлення за квітень 2019 не містить SP1. Перш ніж встановлювати сукупне оновлення за квітень 2019, потрібно інсталювати SP1.

        • KB4464512 – SharePoint Foundation 2013 квітень 2019 CU

        • KB4464514 – SharePoint Сервер 2013 квітень 2019 CU

        • KB4464513 – Project Server 2013 квітень 2019 CU

  • Настройки служби SharePoint

    • SharePoint потрібно настроїти тільки для єдиного розгортання ферми.

    • Щоб використовувати зіставлення автентифікації на основі тверджень за замовчуванням, домен Active Directory, де сервер SharePoint і сервер Dynamics 365 Server розташовані, має відповідати домену, де сервер SharePoint розташований, або має довіряти домену, де Dynamics 365 Server розташовано. Додаткові відомості: Про автентифікацію на основі тверджень зіставлення

    • Веб-сайт SharePoint необхідно настроїти на використання TLS/SSL (HTTPS) і загальний кореневий центр сертифікації має видати сертифікат. Додаткові відомості SharePoint: Про SSL-сертифікати Secure Channel

    • Слід створити й запустити проксі-програму служби керування програмами. Додаткові відомості: Налаштування середовища для програм SharePoint

    • Слід настроюїти і запустити програму служби профілю користувача. Додаткові відомості: Створення, редагування та видалення службових програм профілю користувача в SharePoint Server 2013

    • Для спільного використання документів потрібно увімкнути службу пошуку SharePoint. Більше відомостей: Створення та настроювання програми служби пошуку в SharePoint Server

    • Для функції керування документами при використанні мобільних програм Microsoft Customer Engagement (on-premises) локальний сервер SharePoint має бути доступним через Інтернет.

    • Для того, щоб користувачі могли створювати бібліотеки документів SharePoint з Customer Engagement (on-premises), потрібні такі дозволи та налаштування:

      • Обліковий запис Active Directory користувача Customer Engagement (on-premises) повинен бути членом групи «Учасники сайту» для колекції сайтів SharePoint, в якій зберігаються документи.

      • За замовчуванням, зіставлення автентифікації на основі тверджень буде використовувати для зіставлення адресу електронної пошти SharePoint користувача Customer Engagement (on-premises) та його робочу адресу електронної пошти SharePoint On-Premises. За умов такого зіставлення адреси електронної пошти користувача мають відповідати двом системам. Додаткові відомості: Налаштування скарг користувачів зіставлення використання SharePoint адреси електронної пошти

Інші необхідні умови й обмеження

  • Цифровий сертифікат X509 буде використовуватися для перевірки автентичності на основі сервера між Dynamics 365 Server і сервером SharePoint. Ключі сертифіката повинні мати як мінімум 2048-бітні шифрування. У більшості випадків цей сертифікат повинен бути виданий надійним центром сертифікації, але для ознайомлювальних цілей використовується сертифікат із власним підписом.

  • Ідентифікований користувач для сховища програм CRMAppPool повинен мати доступ читання до сертифікату x509, який буде використано для перевірки автентифікації на основі сервера за допомогою Dynamics 365 Server і сервера SharePoint. Ви можете використовувати оснастку сертифікатів MMC, щоб надати такий доступ.

  • У разі використання Microsoft SharePoint 2013 для кожної ферми SharePoint можна настроїти лише одну організацію Customer Engagement (on-premises) для серверної інтеграції. Проте, ви можете підключити більше однієї організації Customer Engagement (on-premises) до ферми сервера SharePoint 2016.

Підготовка сервера Dynamics 365 Server для серверної інтеграції

CertificateReconfiguration.ps1 є сценарієм Windows PowerShell, який інсталює сертифікат до локального сховища сертифікатів, надає вказане посвідчення служби асинхронної обробки Microsoft Dynamics 365 сертифікату й оновлює Dynamics 365 Server, щоб скористатися сертифікатом.

Додавання сертифіката між серверами до локального сховища сертифікатів бази даних конфігурацій Customer Engagement (on-premises)

  1. Відкрийте сеанс команди PowerShell на всіх серверах, де встановлено роль Full Server Dynamics 365 Server.

Важливо

Ви повинні виконати описану тут команду на усіх серверах, де виконується роль «Сервер веб-програм».

  1. Змініть своє місцезнаходження на папку <drive>:\Program Files\Microsoft Dynamics CRM\Tools.

  2. Виконайте сценарій Windows PowerShell CertificateReconfiguration.ps1, як зазначено:

    • certificateFilepath\Personalcertfile.pfx . Потрібний параметр, який визначає повний шлях до файлу обміну особистими відомостями (.pfx). Додаткові відомості: Робота із цифровими сертифікатами

    • пароль personal_certfile_password. Необхідний параметр, який задає особистий пароль сертифіката.

    • certificateType S2STokenIssuer. Необхідний параметр, який задає тип сертифіката. Для Customer Engagement (on-premises) та SharePoint серверної інтеграції підтримується лише S2STokenIssuer .

    • serviceAccount’DomainName\UserName’ або ’Network Service’.

    serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.

    • updateCrm. Додає відомості про сертифікат до бази даних конфігурації Microsoft Customer Engagement (on-premises).

      Важливо

      Навіть якщо користувач має кілька розгорнутих ролей сервера веб-застосунків або асинхронної служби, слід лише один раз виконати команду з параметром updateCrm.

    • storeFindType FindBySubjectDistinctedName. Визначає тип сховища сертифікатів. Типово це значення є FindBySubjectDistinguishedName і рекомендується, коли ви запускаєте сценарій.

    Важливо

    Хоча параметри updateCrm і StoreFindType є необов’язковими для запуску команди, ці параметри обов'язкові для серверної інтеграції з SharePoint, щоб інформація про сертифікат була додана до бази даних сертифікації.

    Приклад

    .\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName

Підготуйте ферму SharePoint для серверної інтеграції

Отримання ідентифікатора області Dynamics 365

  1. Запустіть майстер увімкнення серверної інтеграції із SharePoint. Виберіть Параметри>Керування документами.

  2. Натисніть кнопку Далі, виділіть локальний а потім Далі.

  3. Ідентифікатор відображається поруч із Dynamics 365 Realm Id на сторінці.

    Порада

    Збережіть ідентифікатор області Dynamics 365 в текстовому файлі в захищеному сховищі в мережі або хмарі. Так ви зможете легко отримати його в розташуванні, де ви запускаєте майстер ввімкнення серверної інтеграції з SharePoint.

На локальному сервері SharePoint в оболонці керування SharePoint виконайте ці команди PowerShell в зазначеному порядку.

Підготовка сервера SharePoint для автентифікації Dynamics 365 Server

  1. Якщо ви використовуєте оболонку керування PowerShell, яка не є оболонкою керування SharePoint, ви повинні зареєструвати модуль SharePoint, використовуючи таку команду.

    Add-PSSnapin Microsoft.SharePoint.PowerShell

    Увімкніть сеанс PowerShell для внесення змін до служби маркерів безпеки для ферми SharePoint.

    $c = Get-SPSecurityTokenServiceConfig
$c.AllowMetadataOverHttp = $true
$c.AllowOAuthOverHttp= $true
$c.Update()

  2. Створіть об’єкт служби довірених маркерів безпеки, де OrganizationName — це унікальне ім’я Customer Engagement (on-premises) організації, а CrmServer — ім’я веб-сервера IIS, на якому Customer Engagement (on-premises) інстальовано роль сервера веб-додатків, а -Name "crm" використовується для іменування сервера маркерів безпеки (STS).

    Важливо

    • Підключення двох або більше організацій Customer Engagement (on-premises) до однієї ферми сервера Microsoft SharePoint 2013 не підтримується. Проте, ви можете підключити більше однієї організації Customer Engagement (on-premises) до ферми сервера SharePoint 2016.

    • Під час запуску команди PowerShell New-SPTrustedSecurityTokenIssuer ви повинні вказати HTTPS для кінцевої точки метаданих Customer Engagement (on-premises), якщо веб-сайт Customer Engagement (on-premises) має лише зв'язування HTTPS, або зв'язування HTTPS і HTTP, як у наведеному прикладі.

    New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName

  3. Зареєструйте Customer Engagement (on-premises) з колекцією сайтів SharePoint.

    Щоб виконати такі команди, необхідно вказати два таких параметри:

    • Введіть URL-адресу колекції сайтів SharePoint локальної версії. У наведеному тут прикладі https://sharepoint.contoso.com/sites/crm/ для сайту використовується колекція URL.

    • CrmRealmId — це ідентифікатор Customer Engagement (on-premises) організації, яку SharePoint ви хочете використовувати для керування документами. Додаткові відомості: Отримання ідентифікатора Dynamics 365 Realm ID

    Важливо

    Для виконання цих команд має існувати та працювати проксі-сервер програм служби керування програмами SharePoint. Для отримання додаткових відомостей про те, як запустити та настроїти службу, перегляньте розділ Настроювання параметрів передплати та програм служби керування програмами в розділі Настроювання середовища для програм для SharePoint.

    $CrmRealmId = "CRMRealmId"
$Identifier  = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"

  4. Надання доступу програмам Customer Engagement (on-premises) до сайту SharePoint.

    Нотатка

    У нижченаведеному прикладі програмам Customer Engagement (on-premises) надано дозвіл для вказаної колекції сайтів SharePoint за допомогою параметра колекції сайтів –Scope. Параметр Scope приймає такі параметри. Використовуйте область, яка є найбільш придатною для конфігурації SharePoint:

    • сайту. Надає дозвіл Customer Engagement (on-premises) лише для вказаного веб-сайту SharePoint. Не надає дозвіл для будь-яких дочірніх сайтів іменованого сайту.

    • sitecollection. Надає дозвіл Customer Engagement (on-premises) до всіх веб-сайтів і дочірніх сайтів в межах вказаної колекції сайтів SharePoint.

    • підписка на сайт. Надає дозвіл Customer Engagement (on-premises) до всіх веб-сайтів у фермі SharePoint, включно з усіма колекціями сайтів, веб-сайтами та дочірніми сайтами.

    $app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy
#"Set up claims-based authentication mapping"
New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Запустіть майстер увімкнення серверної інтеграції із SharePoint

  1. У меню перейдіть до розділу Customer Engagement (on-premises) Налаштування>керування документами.

  2. В області «Керування документами» виберіть «Увімкнути інтеграцію SharePoint на основісервера».

  3. Перегляньте інформацію та натисніть кнопку Далі.

  4. Для SharePoint сайтів виберіть локальний а потім натисніть кнопку Далі.

  5. На етапі «Підготувати сайти » введіть наступну інформацію:

    •  SharePoint локальний сайт колекція URL, наприклад https://sharepoint.contoso.com/sites/crm. Сайт потрібно настроїти для TLS/SSL.

    • SharePoint Ідентифікатор області. Отримання ідентифікатора області SharePoint

  6. Виберіть Далі.

  7. З’явиться розділ перевірки сайтів. Якщо всі сайти дійсні, виберіть Увімкнути. Якщо один або більше сайтів недійсні, див. розділ «Виправлення неполадок серверної інтеграції Dynamics 365 Server з сервером SharePoint On-Premises».

Виберіть сутності, які слід включити до керування документами

За промовчанням, буде включено такі сутності: бізнес-партнер, стаття, інтерес, продукт, цінова пропозиція та рекламні матеріали. Ви можете додавати або видаляти сутності, які будуть використовуватися для керування документами в SharePoint настройках керування документами у програмах for Customer Engagement. Виберіть Параметри>Керування документами. Додаткові відомості: Увімкнення SharePoint керування документами для певних сутностей

Додайте інтеграцію з OneDrive для бізнесу

Після завершення настроювання серверної інтеграції Customer Engagement (on-premises) і SharePoint On-Premises, можна також інтегрувати OneDrive для бізнесу. Завдяки інтеграції Customer Engagement (on-premises) з OneDrive для бізнесу, користувачі Customer Engagement (on-premises) мають можливість створювати приватні документи і керувати ними, використовуючи OneDrive для бізнесу. Ці документи можуть бути доступні в програмах Customer Engagement (on-premises), якщо системний адміністратор увімкне OneDrive для бізнесу.

Увімкнути OneDrive для бізнесу

На Windows Server, де працює сервер SharePoint On-Premises, відкрийте оболонку керування SharePoint і виконайте вказані нижче команди.

Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
    
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
    
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
     
$wellKnownApp.Update()

Виправлення неполадок із серверною інтеграцією Customer Engagement (on-premises) і сервера SharePoint On-Premises

Для отримання відомостей про виправлення неполадок майстра ввімкнення серверної SharePoint інтеграції та перегляду SharePoint журналів моніторингу перегляньте статтю Виправлення неполадок автентифікації на сервері.

Відомі проблеми

Для керування документацією з SharePoint виправленням неполадок і відомих проблем перегляньте статтю Виправлення неполадок автентифікації на сервері.

Про зіставлення автентифікації на основі тверджень.

Якщо в програмі використовується зіставлення автентифікації на основі тверджень, домен Active Directory, в якому розташовано сервер SharePoint і сервер Dynamics 365 Server, має бути тим самим. Розташування серверів у різних лісах або доменах Active Directory не підтримується. Крім того, користувачі, які перебувають у зовнішніх доменах відносно сервера Dynamics 365 Server або сервера SharePoint, не матимуть доступу до документів.

За замовчуванням серверна автентифікація між Customer Engagement (on-premises) та SharePoint локальних інсталяцій використовує ідентифікатор безпеки користувача (SID) для автентифікації кожного користувача. Якщо потрібно використовувати власний зіставлення автентифікації на основі тверджень, наприклад адресу електронної пошти користувача, перегляньте статтю Визначення настроюваних зіставлення заявок для SharePoint інтеграції на сервері

Налаштування зіставлення користувача на основі тверджень із використанням адреси електронної пошти SharePoint

  1. Відкрийте редактор форм, щоб настроїти форму користувача. Для цього перейдіть до розділу Настройки>Безпека>користувачів, а потім відкрийте потрібний запис користувача.

  2. На панелі інструментів виділіть ..., а потім виберіть пункт редактор форм.

    Відкрийте редактор форми користувача.

  3. Знайдіть SharePoint поле «Адреса електронної пошти» на панелі «Провідник полів» і перетягніть його в розділ «Інформація про користувача» форми користувача.

    Додайте SharePoint поле адреси електронної пошти у форму користувача.

  4. На панелі інструментів редактор форм виберіть Зберегти , а потім натисніть кнопку Опублікувати.

  5. Закрийте редактор форм та оновіть вкладку веб-браузера, щоб відобразити поле, яке ви щойно додали, в записі користувача.

  6. У полі «Адреса SharePoint електронної пошти» запису користувача введіть адресу електронної пошти користувача точно так, як вона вказана SharePoint.

  7. Виберіть Зберегти.

  8. Повторіть останні два кроки для кожного користувача, якому потрібно керувати документами.

Робота з цифровими сертифікатами

Вказану нижче процедуру використовують для створення файлу обміну особистої інформації (.pfx).

  1. На комп’ютері, який має доступ до сертифіката, який потрібно використовувати для міжсерверної автентифікації, натисніть кнопку Пуск, натисніть кнопку Виконати, введіть MMC і натисніть клавішу Enter.

  2. Виберіть «Файл », а потім —«Додати/видалити оснастку ».

  3. У списку Доступні оснастки виберіть Сертифікати, натисніть кнопку Додати, виберіть Обліковий запис комп’ютера, натисніть кнопку Далі, натисніть кнопку Готово, щоб вибрати локальний комп’ютер, а потім натисніть кнопку OK .

  4. Розгорніть розділ Сертифікати, розгорніть розділ Особисті, а потім виберіть пункт Сертифікати.

  5. Клацніть правою кнопкою миші сертифікат, який потрібно використати для створення файлу особистого сертифіката, наведіть вказівник миші на пункт Усі завдання, а потім виберіть команду Експорт.

  6. Натисніть кнопку Далі , виберіть пункт Так , щоб експортувати закритий ключ, переконайтеся, що встановлено прапорець із наведених нижче параметрів, а потім натисніть кнопку Далі.

    • Включіть всі сертифікати у шлях сертифіката по можливості

    • Експортуйте всі розширені властивості

  7. Натисніть кнопку Огляд і введіть розташування та ім’я файлу .pfx, а потім натисніть кнопку Зберегти.

  8. Виберіть Далі , а потім натисніть Готово.

Отримання ідентифікатора області SharePoint

Запустіть наступну команду PowerShell в оболонці SharePoint керування, де https://sharepoint.contoso.com/sites/crm/ знаходиться URL-адреса SharePoint сайту колекція.

Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/

Крім того, ви можете знайти ідентифікатор області SharePoint у параметрах дозволів програми сайту в колекції сайту SharePoint.

  1. Ввійдіть до колекції сайтів SharePoint, які ви будете використовувати для керування документами з Customer Engagement (on-premises).

  2. Перейдіть до розділу Налаштування>сайту Дозволи додатка сайту.

  3. Ідентифікатор області відображається в розділі «Ідентифікатор програми» праворуч від знака @. Скопіюйте його в буфер обміну. Вставте лише GUID до майстра увімкнення серверної інтеграції із SharePoint. Не вставляйте в будь-яку частину ідентифікатора ліворуч від @.