Налаштування серверної автентифікації за допомогою Customer Engagement (on-premises) і SharePoint Online

У цьому розділі описано, як налаштувати серверну автентифікацію між Dynamics 365 Customer Engagement (on-premises) і Microsoft SharePoint Online.

Необхідні дозволи

Customer Engagement (on-premises)

• Роль безпеки для системного адміністратора. Це необхідно для запуску майстра серверної інтеграції з SharePoint в Customer Engagement (on-premises).

• Якщо використовується сертифікат із власним підписом для ознайомлювальних цілей, ви повинні бути учасником локальної групи адміністраторівів на комп'ютері, де працює Microsoft Dynamics 365 Server.

SharePoint Online

• Членство глобальних адміністраторів Office 365. Це потрібно для доступу до Office 365 передплати на адміністративному рівні та для запуску командлетів Microsoft AzurePowerShell

Налаштування серверної автентифікації за допомогою Customer Engagement (on-premises) і SharePoint Online

Виконуйте інструкції в порядку, передбаченому для настроювання Customer Engagement (on-premises) з SharePoint Online.

Важливо

• Інструкції, описані тут, потрібно виконати в зазначеному порядку. Якщо завдання не завершено, наприклад під час виконання команди Windows PowerShell з’являється повідомлення про помилку, перш ніж перейти до наступної команди, завдання чи кроку, потрібно вирішити проблему.

• Після увімкнення серверної інтеграції із SharePoint до попереднього методу клієнтської автентифікації повернутися не можна. Це означає, що ви не можете використовувати компонент списку Microsoft Dynamics CRM після налаштування організації Customer Engagement (on-premises) для серверної інтеграції SharePoint.

• Для підключення кількох організацій Customer Engagement (on-premises) в одному розгортанні Customer Engagement (on-premises) до двох чи більше сайтів SharePoint Online, сайти SharePoint Online повинні належати до того ж клієнта Microsoft Office 365.

Перевірка необхідних компонентів

Перед настроюванням програм Customer Engagement (on-premises) і SharePoint Online для серверної автентифікації, повинні бути виконані зазначені нижче передумови:

• Розгортання Customer Engagement (on-premises) має бути вже налаштоване й доступне в Інтернеті. Додаткові відомості: Налаштування IFD для Dynamics 365 for Customer Engagement (on-premises)

• Microsoft Dynamics 365 Hybrid Connector. Microsoft Dynamics 365 Hybrid Connector є безкоштовним з’єднувачем, що дає змогу використовувати серверну автентифікацію з Dynamics 365 (on-premises) і SharePoint Online. Додаткові відомості: Microsoft Dynamics Гібридний з’єднувач CRM

• Для автентифікації між Customer Engagement (on-premises) і SharePoint Online використовуватиметься цифровий сертифікат x509, виданий надійним центром сертифікації. Якщо ви оцінюєте серверну автентифікацію, ви можете використовувати сертифікат із власним підписом.

Для запуску командлетів Windows PowerShell, описаних у цьому розділі, потрібна наведена нижче програмна функція.

• Azure Active Directory Модуль для Windows PowerShell (64-розрядна версія)

Важливо

На час написання цієї статті є проблема з версією RTW помічника із входу у служби Microsoft Online Services для фахівців з інформаційних технологій. Поки проблему не усунуто, рекомендовано використовувати бета-версію. Додаткові відомості: Microsoft Azure Форуми: Не вдається встановити Azure Active Directory модуль для Windows PowerShell. MOSSIA не встановлена.

Настроювання серверної автентифікації

1. На сервері Dynamics 365 Server, де працюють засоби розгортання серверної ролі, запустіть модуль Azure Active Directory для Windows PowerShell.

   Важливо

   Комп'ютер, на якому ви запускатимете наведені далі команди PowerShell, повинен відповідати попереднім умовам щодо функцій програмного забезпечення, описаним раніше у розділі «Перевірка необхідних компонентів».

2. Підготуйте сертифікат.

   $CertificateScriptWithCommand = “.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount contoso\CRMWebApplicationService -storeFindType FindBySubjectDistinguishedName”
   
    Invoke-Expression -command $CertificateScriptWithCommand
   

3. Підготуйте сеанс PowerShell.

   Наведені нижче командлети дають змогу комп'ютеру отримувати дистанційні команди та додавати модулі Office 365 до сеансу PowerShell.

   Enable-PSRemoting -force
   New-PSSession
   Import-Module MSOnline -force
   Import-Module MSOnlineExt -force
   

4. Підключіться до Office 365.

   Під час виконання команди Connect-MsolService необхідно надати дійсний обліковий запис Microsoft, який є учасником ролі глобального адміністратора Office 365 для ліцензії SharePoint Online, що є необхідною умовою.

   Докладнішу інформацію про кожен із перелічених тут модулів MSOnline для Azure Active Directory команд PowerShell наведено в розділі MSOnline.

   $msolcred = get-credential
   connect-msolservice -credential $msolcred
   

5. Настройте сертифікат.

   $Certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
   $Certificate.Import(“c:\Personalcertfile.cer”)
   $CERCertificateBin = $Certificate.GetRawCertData()
   $CredentialValue = [System.Convert]::ToBase64String($CERCertificateBin)
   

6. Встановіть Azure Active Directory Ім’я учасника служби в SharePoint.

   Замінити *.contoso.com на доменне ім’я, де Microsoft Dynamics 365 Server він знаходиться.

   Важливо

   Як параметр Type у команді New-MsolServicePrincipalCredential підтримуються лише асиметричні клавіші. Симетричні ключі або ключі-паролі незахищені та вимкнені.

   $RootDomain = “*.contoso.com”
   $CRMAppId = "00000007-0000-0000-c000-000000000000" 
   New-MsolServicePrincipalCredential -AppPrincipalId $CRMAppId -Type asymmetric -Usage Verify -Value $CredentialValue
   $CRM = Get-MsolServicePrincipal -AppPrincipalId $CRMAppId
   $ServicePrincipalName = $CRM.ServicePrincipalNames
   $ServicePrincipalName.Remove("$CRMAppId/$RootDomain")
   $ServicePrincipalName.Add("$CRMAppId/$RootDomain")
   Set-MsolServicePrincipal -AppPrincipalId $CRMAppId -ServicePrincipalNames $ServicePrincipalName
   

7. Настроїти сайти Microsoft Dynamics 365 Server для серверної автентифікації з SharePoint.

   Add-PSSnapin Microsoft.Crm.PowerShell 
   $setting = New-Object "Microsoft.Xrm.Sdk.Deployment.ConfigurationEntity"
   $setting.LogicalName = "ServerSettings"
   $setting.Attributes = New-Object "Microsoft.Xrm.Sdk.Deployment.AttributeCollection"
   $attribute1 = New-Object "System.Collections.Generic.KeyValuePair[String, Object]" ("S2SDefaultAuthorizationServerPrincipalId", "00000001-0000-0000-c000-000000000000")
   $setting.Attributes.Add($attribute1)
   $attribute2 = New-Object "System.Collections.Generic.KeyValuePair[String, Object]" ("S2SDefaultAuthorizationServerMetadataUrl", "https://accounts.accesscontrol.windows.net/metadata/json/1")
   $setting.Attributes.Add($attribute2)
   Set-CrmAdvancedSetting -Entity $setting
   

Запустіть майстер увімкнення серверної інтеграції із SharePoint

1. У меню перейдіть до розділу Customer Engagement (on-premises) Керування документами.

2. В області «Керування документами» виберіть «Увімкнути інтеграцію SharePoint на основісервера».

3. Перегляньте інформацію та натисніть кнопку Далі.

4. Для SharePoint сайтів виберіть Онлайн, а потім натисніть кнопку Далі.

5. На стадії Підготувати сайти введіть таку інформацію.

   • Введіть веб-сайт SharePoint колекція URL, наприклад https://contoso.sharepoint.com/sites/salesteam.

   • Введіть ідентифікатор клієнта. Додаткові відомості: Отримання ідентифікатора клієнта SharePoint online

6. Виберіть Далі.

7. З’явиться розділ перевірки сайтів. Якщо всі сайти визнані дійсними, виберіть Увімкнути. Якщо один або кілька сайтів визначено як недійсні, перегляньте статтю Виправлення неполадок автентифікації на сервері.

Отримання ідентифікатора клієнта SharePoint online

Використання PowerShell

1. У модулі Azure Active Directory для Windows PowerShell запустіть наведені нижче команди.

   $CRMContextId = (Get-MsolCompanyInformation).ObjectID
   $CRMContextId
   

2. Скопіюйте GUID, який відображаються у буфері обміну.

Використання параметрів сайту

1. Ввійдіть до колекції сайтів SharePoint, які ви будете використовувати для керування документами з Customer Engagement (on-premises).

2. Перейдіть до розділу Налаштування>сайту Дозволи додатка сайту.

   Ідентифікатор клієнта відображається в розділі «Ідентифікатор програми» праворуч від знака @. Скопіюйте та вставте тільки GUID. Не вставляйте в будь-яку частину ідентифікатора ліворуч від @.

Виправлення неполадок перевірки майстра увімкнення серверної автентифікації

Помилка автентифікації. Ця помилка може бути повернена, якщо сертифікат, який використовується для автентифікації між серверами відсутній або неприпустимий.