Поділитися через

Налаштування серверної автентифікації за допомогою локальної SharePoint

  • Стаття

Серверна інтеграція керування документами SharePoint може використовуватися для підключення програм для взаємодії з клієнтами (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing і Dynamics 365 Project Service Automation) до локальних SharePoint. При використанні аутентифікації на основі сервера,Domain Services Microsoft Entra використовується як довірчий брокер, і користувачам не потрібно входити в систему SharePoint.

Необхідні дозволи

Для ввімкнення керування документами SharePoint потрібні такі права.

  • Членство в глобальному адміністраторі Microsoft 365 потрібне для наведених цілей.

    • Доступ до підписки на рівні адміністратора Microsoft 365.
    • Запуск активованого адміністрування на рівні сервера.
    • Запуск командлетів AzurePowerShell.

  • Power Apps Право на запуск майстра інтеграції SharePoint. Потрібне для запуску майстра увімкнення серверної автентифікації.

    За замовчуванням роль безпеки «Системний адміністратор» має такий дозвіл.

  • Для локальної інтеграції SharePoint, членство в групі адміністраторів ферми SharePoint. Це необхідно для виконання більшості команд PowerShell на сервері SharePoint.

Налаштування міжсерверної автентифікації за допомогою локальної версії SharePoint

Виконуйте інструкції в порядку, передбаченому для настроювання програм для взаємодії з клієнтами для роботи з локальними версіями SharePoint 2013.

Важливо

Інструкції, описані тут, потрібно виконати в зазначеному порядку. Якщо завдання не завершено, наприклад, під час виконання команди PowerShell з’являється повідомлення про помилку, перш ніж перейти до наступної команди, завдання чи кроку, потрібно вирішити проблему.

Перевірка необхідних компонентів

Перед настроюванням програм для взаємодії з клієнтами і локальних версій SharePoint для серверної автентифікації необхідно задовольнити наведеним далі передумовам.

Попередні вимоги SharePoint

  • SharePoint 2013 (локальні версії) з пакетом оновлень 1 або пізнішої версії

    Важливо

    Для використання при керуванні документами в програмах для взаємодії з клієнтами версії SharePoint Foundation 2013 не підтримуються.

  • Інсталюйте сукупне оновлення за квітень 2019 для сімейства продуктів SharePoint 2013. Сукупне оновлення за квітень 2019 містить усі виправлення SharePoint 2013 (зокрема усі виправлення безпеки SharePoint 2013), які було випущено після SP1. Сукупне оновлення за квітень 2019 не містить SP1. Перш ніж встановлювати сукупне оновлення за квітень 2019, потрібно інсталювати SP1. Додаткові відомості: KB4464514 Сукупне оновлення SharePoint Server 2013 за квітень 2013

  • Настройки служби SharePoint

    • Задля серверної інтеграції можна налаштувати лише одну програму для взаємодії з клієнтами, якщо ви використовуєте SharePoint 2013 для кожної ферми SharePoint.

    • Веб-сайт SharePoint має бути доступний через Інтернет. Зворотний проксі-сервер також може бути необхідний для автентифікації SharePoint. Додаткові відомості: Настроювання зворотного пристрою проксі-сервера для гібрида SharePoint Server 2013

    • Веб-сайт SharePoint необхідно налаштувати на використання SSL (HTTPS) на порту TCP 443 (спеціальні порти не підтримуються) і загальний кореневий центр сертифікації має видати сертифікат. Більше відомостей: SharePoint: про сертифікати Secure Channel SSL

    • Це – надійна властивість користувача для застосування при зіставленні автентифікації на основі тверджень між SharePoint і програмами для взаємодії з клієнтами. Додаткові відомості: Вибір типу зіставлення тверджень

    • Для спільного використання документів потрібно увімкнути службу пошуку SharePoint. Більше відомостей: Створення та настроювання програми служби пошуку в SharePoint Server

    • Для функції керування документами при використанні мобільних програм Dynamics 365 локальний сервер SharePoint має бути доступним через Інтернет.

Інші необхідні компоненти

  • Ліцензія на онлайновий режим SharePoint. Програми Customer Engagement для# SharePoint локальний автентифікації на сервері повинні мати SharePoint ім’я учасника служби (SPN), зареєстроване в Microsoft Entra ідентифікаторі. Щоб виконати це, необхідна принаймні одна ліцензія користувача SharePoint Online. Ліцензію SharePoint Online можна отримати з єдиної ліцензії користувача і зазвичай вона походить із:

    • Передплата SharePoint Online. будь-якого плану SharePoint Online, навіть якщо ліцензія не призначена для користувача;

    • Передплата Microsoft 365, яка включає SharePoint Online. Наприклад, якщо у вас є Microsoft 365 E3, у вас є відповідне ліцензування, навіть якщо ліцензія не призначена для користувача.

      Докладніші відомості про ці плани див. у розділі Знайдіть для себе вірне рішення і Порівняйте SharePoint варіанти

  • Нижче перелічено функції програмного забезпечення, що є необхідними для виконання командлетів PowerShell, описаних у цьому розділі.

    • Помічник із входу у служби Microsoft Online Services для фахівців з інформаційних технологій (бета-версія)

    • MSOnlineExt

    • Щоб інсталювати модуль MSOnlineExt, введіть вказану нижче команду з сеансу адміністратора PowerShell. PS> Install-Module -Name "MSOnlineExt"

    Важливо

    На час написання цієї статті є проблема з версією RTW помічника із входу у служби Microsoft Online Services для фахівців з інформаційних технологій. Поки проблему не усунуто, рекомендовано використовувати бета-версію. Додаткові відомості:Форуми: Microsoft Azure Не вдається встановити Microsoft Entra модуль для Windows PowerShell. MOSSIA не встановлена.

  • Відповідний тип зіставлення автентифікації на основі тверджень для зіставлення посвідчень між програмами для взаємодії з клієнтами і локальними версіями SharePoint. За промовчанням використовується адреса електронної пошти. Додаткова інформація: Надайте дозвіл програмам для взаємодії з клієнтами на доступ до SharePoint і налаштуйте зіставлення автентифікації на основі тверджень

Оновіть SPN сервера SharePoint в Microsoft Entra службах доменів

На локальному сервері SharePoint в оболонці керування SharePoint 2013 виконайте ці команди PowerShell в зазначеному порядку.

  1. Підготуйте сеанс PowerShell.

    Наведені нижче командлети дають змогу комп'ютеру отримувати дистанційні команди та додавати модулі Microsoft 365 до сеансу PowerShell. Для отримання додаткових відомостей про ці командлети див. Основні командлети Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Підключіться до Microsoft 365.

    Під час виконання команди Connect-MsolService необхідно надати дійсний обліковий запис Microsoft, який є учасником ролі глобального адміністратора для ліцензії SharePoint Online, яка є необхідною умовою.

    Докладні відомості про кожну з Microsoft Entra перелічених тут команд IDPowerShell наведено в статті Керування Microsoft Entra за допомогою Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Вкажіть ім’я хоста SharePoint.

    Значення, встановлені для змінної HostName має бути повним іменем хоста колекції сайтів SharePoint. Ім’я хоста мають походити з URL-адреси колекції сайтів і є чутливими до регістру. У цьому прикладі URL-адреса колекції сайтів <https://SharePoint.constoso.com/sites/salesteam>, тому назва вузла буде SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Отримайте об’єкт (клієнт) Microsoft 365 та ім’я принципала серверної служби SharePoint (SPN).

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Установіть ім’я учасника служби сервера SharePoint (SPN) у полі Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Після виконання цих команд не закривайте оболонку керування SharePoint 2013 і переходьте до наступного кроку.

Оновлення області SharePoint для відповідності SharePoint Online

На локальному сервері SharePoint в оболонці керування SharePoint 2013 виконайте цю команду Windows PowerShell.

Для виконання цієї команди потрібне членство адміністратора ферми SharePoint і слід настроїти область автентифікації локальної ферми SharePoint.

Увага!

Запуск цієї команди змінює область автентифікації локальної ферми SharePoint. Для програм, які використовують наявну службу маркерів безпеки (STS), це може призвести до непередбачуваної поведінки з іншими застосунками, які використовують маркери доступу. Додаткові відомості: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Створення довіреного емітента токена безпеки для Microsoft Entra ідентифікатора на SharePoint

На локальному сервері SharePoint в оболонці керування SharePoint 2013 виконайте ці команди PowerShell в зазначеному порядку.

Для виконання таких команд потрібне членство адміністратора ферми SharePoint.

Додаткові відомості про ці команди PowerShell див. у розділі Використання командлетів Windows PowerShell для адміністрування безпеки в SharePoint 2013.

  1. Увімкніть сеанс PowerShell для внесення змін до служби маркерів безпеки для ферми SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Установіть кінцеву точку метаданих.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Створіть новий проксі-сервер програми служби контролю токенів в Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Нотатка

    Команда New- SPAzureAccessControlServiceApplicationProxy може повернути повідомлення про помилку, що вказує на те, що проксі-сервер програми з таким іменем уже існує. Якщо іменований проксі-сервер програми уже існує, ви можете ігнорувати помилку.

  4. Створіть новий емітент служби контролю токенів в# SharePoint локальний for Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Надайте дозвіл програмам для взаємодії з клієнтами на доступ до SharePoint і налаштуйте зіставлення автентифікації на основі тверджень

На локальному сервері SharePoint в оболонці керування SharePoint 2013 виконайте ці команди PowerShell в зазначеному порядку.

Для виконання таких команд потрібне членство адміністратора колекцій сайтів SharePoint.

  1. Зареєструйте програми для взаємодії з клієнтами у збірці веб-сайтів SharePoint.

    Введіть URL-адресу колекції сайтів SharePoint локальної версії. У цьому прикладі використовується https://sharepoint.contoso.com/sites/crm/.

    Важливо

    Для завершення цієї команди має існувати та працювати проксі-сервер застосунків служби керування застосунками SharePoint. Додаткові відомості про запуск і настроювання служби див. у підрозділі «Настроювання параметрів передплати і програм служби керування програмами» в Настроювання середовища для програм для SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Надайте програмам для взаємодії з клієнтами доступ до веб-сайту SharePoint. Замініть https://sharepoint.contoso.com/sites/crm/ на URL-адресу сайту SharePoint.

    Нотатка

    У наведеному далі прикладі програмі для взаємодії з клієнтами надається дозвіл на доступ до зазначеної збірки веб-сайтів SharePoint із використанням параметра збірки веб-сайтів Scope. Параметр Scope приймає такі параметри. Виберіть область застосування, яка є найбільш придатною для конфігурації SharePoint.

    • site. Надає програмам для взаємодії з клієнтами дозвіл на доступ виключно до зазначеного веб-сайту SharePoint. Не надає дозвіл для будь-яких дочірніх сайтів іменованого сайту.
      • sitecollection. Надає програмам для взаємодії з клієнтами дозвіл на доступ до всіх веб-сайтів і дочірніх сайтів у рамках зазначеної збірки веб-сайтів SharePoint.
      • sitesubscription. Надає програмам для взаємодії з клієнтами дозвіл на доступ до всіх веб-сайтів у фермі SharePoint, включно з усіма збірками веб-сайтів, веб-сайтами та дочірніми сайтами.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Встановіть тип зіставлення автентифікації на основі тверджень.

    Важливо

    За замовчуванням, зіставлення автентифікації на основі тверджень буде використовувати для зіставлення адресу електронної пошти облікового запису Microsoft користувача і локальну адресу робочої електронної пошти користувача SharePoint. За таких умов адреси електронної пошти користувача мають відповідати двом системам. Щоб отримати додаткові відомості див. Вибір типу зіставлення автентифікації на основі тверджень.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Запустіть майстер увімкнення серверної інтеграції із SharePoint

Виконайте такі кроки.

  1. Переконайтеся, що ви маєте відповідний дозвіл на запуск майстра. Для отримання додаткових відомостей перегляньте розділ: Обов'язкові дозволи.

  2. Виберіть Настройки>Керування документами.

  3. В області Керування документами виберіть Увімкнення серверної інтеграції з SharePoint.

  4. Перегляньте відомості, а потім натисніть кнопку Далі.

  5. Для сайтів SharePoint виберіть Локально, а потім натисніть кнопку Далі.

  6. Введіть URL-адресу колекції сайтів SharePoint локальної версії, наприклад https://sharepoint.contoso.com/sites/crm. Сайт потрібно настроїти для SSL.

  7. Натисніть кнопку Далі.

  8. З’явиться розділ перевірки сайтів. Якщо всі сайти виявляться припустимі, виберіть Увімкнути. Якщо один або кілька сайтів вказуються недійсними, див. Виправлення неполадок автентифікації на основі сервера.

Виберіть сутності, які слід включити до керування документами

За промовчанням, буде включено такі сутності: бізнес-партнер, стаття, інтерес, продукт, цінова пропозиція та рекламні матеріали. Можна додати чи видалити сутності, які будуть використовуватися для керування документами з SharePoint in Настройки керування документами. Виберіть Настройки>Керування документами. Додаткові відомості: Увімкнення керування документами для сутностей

Додайте інтеграцію з OneDrive для бізнесу

Після завершення настроювання серверної автентифікації програм для взаємодії з клієнтами і настроювання локальної серверної автентифікації SharePoint також можна виконати інтеграцію OneDrive для бізнесу. Завдяки програмам для взаємодії з клієнтами та інтеграції OneDrive для бізнесу користувачі можуть за допомогою OneDrive для бізнесу створювати приватні документи та керувати ними. Ці документи можуть бути доступні, якщо системний адміністратор увімкне OneDrive для бізнесу.

Увімкнути OneDrive для бізнесу

На Windows Server, де працює сервер SharePoint On-Premises, відкрийте оболонку керування SharePoint і виконайте вказані нижче команди.

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Вибір типу зіставлення автентифікації на основі тверджень

За замовчуванням, зіставлення автентифікації на основі тверджень буде використовувати для зіставлення адресу електронної пошти облікового запису Microsoft користувача і локальну адресу робочої електронної пошти SharePoint користувача. Зверніть увагу, що незалежно від того, який тип автентифікації на основі тверджень ви використовуєте, такі значення, як адреси електронної пошти мають співпадати у програмах для взаємодії з клієнтами і SharePoint. У цьому випадку може допомогти синхронізація каталогів Microsoft 365. Додаткова інформація: Розгортання синхронізації служби каталогів Microsoft 365 у Microsoft Azure. Щоб застосувати інший тип зіставлення автентифікації на основі тверджень, див. Визначення настроюваного зіставлення для серверної інтеграції SharePoint..

Важливо

Щоб увімкнути властивість «Робоча адреса електронної пошти», для локальної версії SharePoint потрібно настроїти і запустити застосунок-службу профілів користувачів. Щоб увімкнути програму-службу профілів користувачів у SharePoint, див. Створення, редагування та видалення програм-служб профілів користувачів у SharePoint Server 2013. Щоб внести зміни до властивості користувача, такої як «Робоча адреса електронної пошти», див. Редагування властивості профілю коритувача. Щоб отримати додаткові відомості про програму-службу профілю користувача, див. Огляд програми-служби профілю користувача в SharePoint Server 2013..

Статті за темою:

Виправлення неполадок серверної автентифікації
Налаштуйте інтеграцію SharePoint з програмами для взаємодії з клієнтами