Chia sẻ qua

Đặt cấu hình xác thực dựa trên máy chủ bằng SharePoint tại chỗ

  • Bài viết

Tích hợp SharePoint dựa trên máy chủ để quản lý tài liệu có thể được sử dụng để kết nối các ứng dụng Customer Engagement (Dynamics 365 Sales, Dynamics 365 Customer Service, Dynamics 365 Field Service, Dynamics 365 Marketing, và Dynamics 365 Project Service Automation) với SharePoint tại chỗ. Khi sử dụng xác thực dựa trên máy chủ, Microsoft Entra Dịch vụ tên miền được sử dụng làm nhà môi giới tin cậy và người dùng không cần phải đăng nhập SharePoint.

Các quyền bắt buộc

Cần có các tư cách thành viên và đặc quyền sau đây để kích hoạt tính năng quản lý tài liệu SharePoint.

  • Tư cách thành viên quản trị viên toàn cầu trong Microsoft 365 - điều này cần thiết cho những mục đích sau:

    • Quyền truy cập cấp quản trị vào gói đăng ký Microsoft 365.
    • Bật trình hướng dẫn Xác thực dựa trên máy chủ.
    • Chạy lệnh ghép ngắn AzurePowerShell.

  • Power Apps Chạy đặc quyền Trình hướng dẫn tích hợp SharePoint. Điều này là cần thiết để chạy trình hướng dẫn Bật xác thực dựa trên máy chủ.

    Theo mặc định, vai trò bảo mật của Quản trị viên Hệ thống có đặc quyền này.

  • Đối với tích hợp SharePoint tại chỗ, tư cách thành viên nhóm Quản trị viên cụm máy chủ SharePoint. Điều này cần thiết để chạy hầu hết các lệnh PowerShell trên máy chủ SharePoint.

Thiết lập xác thực máy chủ đến máy chủ với SharePoint tại chỗ

Làm theo các bước theo thứ tự được cung cấp để thiết lập ứng dụng Customer Engagement với SharePoint 2013 tại chỗ.

Quan trọng

Các bước được mô tả ở đây phải được hoàn thành theo thứ tự được cung cấp. Nếu một tác vụ không được hoàn thành, chẳng hạn như lệnh PowerShell trả về thông báo lỗi, thì vấn đề phải được giải quyết trước khi bạn tiếp tục chuyển sang lệnh, tác vụ hoặc bước tiếp theo.

Xác minh điều kiện tiên quyết

Trước khi bạn đặt cấu hình ứng dụng Customer Engagement và SharePoint tại chỗ cho xác thực dựa trên máy chủ, điều kiện tiên quyết sau đây phải được đáp ứng:

Điều kiện tiên quyết SharePoint

  • SharePoint 2013 (tại chỗ) với Gói Dịch vụ 1 (SP1) hoặc phiên bản mới hơn

    Quan trọng

    Phiên bản SharePoint Foundation 2013 không được hỗ trợ để sử dụng với quản lý tài liệu ứng dụng Customer Engagement.

  • Cài đặt Cập nhật tích lũy (CU) tháng 4 năm 2019 cho dòng sản phẩm SharePoint 2013. CU tháng 4 năm 2019 này bao gồm tất cả bản sửa lỗi SharePoint 2013 (bao gồm tất cả bản sửa lỗi bảo mật SharePoint 2013) được phát hành kể từ SP1. CU tháng 4 năm 2019 không bao gồm SP1. Bạn cần cài đặt SP1 trước khi cài đặt CU tháng 4 năm 2019. Thông tin thêm: CU tháng 4 năm 2019 SharePoint Server 2013 KB4464514

  • Cấu hình SharePoint

    • Nếu bạn sử dụng SharePoint 2013, thì đối với mỗi cụm máy chủ SharePoint, chỉ được đặt cấu hình một ứng dụng Customer Engagement cho tích hợp dựa trên máy chủ.

    • Phải truy cập được trang web SharePoint qua Internet. Một proxy đảo ngược cũng có thể bắt buộc đối với xác thực SharePoint. Thông tin khác: Đặt cấu hình thiết bị proxy đảo ngược cho kết hợp SharePoint Server 2013

    • Trang web SharePoint phải được đặt cấu hình để sử dụng giao thức SSL (HTTPS) trên cổng TCP 443 (không hỗ trợ cổng tùy chỉnh) và chứng chỉ phải được Cơ quan Chứng nhận gốc công khai cấp. Thông tin thêm: SharePoint: Giới thiệu về chứng chỉ SSL kênh bảo mật

    • Một thuộc tính người dùng đáng tin cậy để ánh xạ chứng thực dựa trên yêu cầu giữa các ứng dụng SharePoint và Customer Engagement. Thông tin thêm: Chọn loại ánh xạ tuyên bố

    • Để chia sẻ tài liệu, bạn phải bật dịch vụ tìm kiếm SharePoint. Thông tin thêm: Tạo và đặt cấu hình ứng dụng dịch vụ Tìm kiếm trong SharePoint Server

    • Đối với chức năng quản lý tài liệu khi sử dụng ứng dụng dành cho thiết bị di động Dynamics 365, máy chủ SharePoint tại chỗ phải sẵn có thông qua Internet.

Điều kiện tiên quyết khác

  • Giấy phép SharePoint Online. Các ứng dụng tương tác với khách hàng để xác thực dựa trên máy chủ SharePoint tại chỗ phải có SharePoint tên chính của dịch vụ (SPN) đã đăng ký trong Microsoft Entra ID. Để đạt được điều này, cần có ít nhất một giấy phép sử dụng SharePoint Online. Giấy phép SharePoint Online có thể bắt nguồn từ giấy phép người dùng và thường bắt nguồn từ một trong các điều sau:

    • Gói đăng ký SharePoint Online. Mọi gói SharePoint Online đều đủ ngay cả khi giấy phép không được gán cho người dùng.

    • Đăng ký Microsoft 365 bao gồm SharePoint Online. Ví dụ: nếu có Microsoft 365 E3, bạn sẽ được cấp phép phù hợp ngay cả khi giấy phép không được gán cho người dùng.

      Để biết thêm thông tin về các kế hoạch này, hãy xem Tìm giải pháp phù hợp cho bạnĐối chiếu tùy chọn SharePoint

  • Các tính năng phần mềm sau đây là bắt buộc phải có để chạy lệnh ghép ngắn PowerShell được mô tả trong chủ đề này.

    • Microsoft Đăng nhập dịch vụ trực tuyến Trợ lý dành cho chuyên gia CNTT Beta

    • MSOnlineMở rộng

    • Để cài đặt mô-đun MSOnlineExt module, nhập dòng lệnh sau từ phiên PowerShell của quản trị viên. PS> Install-Module -Name "MSOnlineExt"

    Quan trọng

    Tại thời điểm viết bài này, có một vấn đề với phiên bản RTW của Microsoft Đăng nhập dịch vụ trực tuyến Trợ lý dành cho chuyên gia CNTT. Cho đến khi vấn đề được giải quyết, chúng tôi khuyên bạn nên sử dụng phiên bản Beta. Thông tin thêm: Microsoft Azure Diễn đàn: Không thể cài đặt Microsoft Entra Module cho Windows PowerShell. MOSSIA chưa được cài đặt.

  • Loại ánh xạ chứng thực dựa trên yêu cầu thích hợp để sử dụng cho ánh xạ danh tính giữa các ứng dụng Customer Engagement và SharePoint tại chỗ. Theo mặc định, địa chỉ email được sử dụng. Thông tin thêm: Cấp quyền cho ứng dụng Customer Engagement truy nhập vào SharePoint và đặt cấu hình ánh xạ chứng thực dựa trên yêu cầu

Cập nhật SharePoint Server SPN trong Microsoft Entra Domain Services

Trên máy chủ SharePoint tại chỗ, trong SharePoint 2013 Management Shell, hãy chạy các lệnh PowerShell này theo thứ tự cho sẵn.

  1. Chuẩn bị phiên PowerShell.

    Các lệnh ghép ngắn cho phép máy tính nhận các lệnh từ xa và thêm mô-đun Microsoft 365 vào phiên PowerShell. Để biết thêm thông tin về các lệnh ghép ngắn này, xem Lệnh ghép ngắn Cốt lõi của Windows PowerShell.

    Enable-PSRemoting -force  
New-PSSession  
Import-Module MSOnline -force  
Import-Module MSOnlineExtended -force

  2. Kết nối với Microsoft 365.

    Khi bạn chạy lệnh Connect-MsolService, bạn phải cung cấp một tài khoản hợp lệ có tư cách thành viên Quản trị toàn cầu cho giấy phép Trực tuyến bắt buộc. Microsoft SharePoint

    Để biết thông tin chi tiết về từng lệnh Microsoft Entra IDPowerShell được liệt kê ở đây, hãy xem Quản lý Microsoft Entra bằng Windows PowerShell

    $msolcred = get-credential  
connect-msolservice -credential $msolcred

  3. Thiết lập tên máy chủ SharePoint.

    Giá trị mà bạn đặt cho Máy chủ tùy biến phải là tên hoàn chỉnh của bộ sưu tập trang web SharePoint. Tên máy chủ phải được bắt nguồn từ URL bộ sưu tập site và phân biệt chữ hoa và chữ thường. Trong ví dụ này, URL của bộ sưu tập trang là <https://SharePoint.constoso.com/sites/salesteam>, do đó, tên máy chủ là SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"

  4. Tải id đối tượng Microsoft 365 (đối tượng thuê) và Tên chính của dịch vụ máy chủ SharePoint (SPN).

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"  
$SPOContextId = (Get-MsolCompanyInformation).ObjectID  
$SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId  
$ServicePrincipalName = $SharePoint.ServicePrincipalNames

  5. Đặt SharePoint Tên dịch vụ chính của máy chủ (SPN) trong Microsoft Entra ID.

    $ServicePrincipalName.Add("$SPOAppId/$HostName")   
Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName

    Sau khi các lệnh này hoàn tất, không đóng SharePoint 2013 Management Shell và tiếp tục bước tiếp theo.

Cập nhật các lĩnh vực SharePoint để phù hợp với SharePoint Online

Trên máy chủ SharePoint tại chỗ, trong SharePoint 2013 Management Shell, chạy lệnh Windows PowerShell này.

Lệnh sau yêu cầu thành viên quản trị viên trang trại SharePoint và đặt gốc xác thực của trang trại SharePoint tại chỗ.

Thận trọng

Chạy lệnh này sẽ thay đổi gốc xác thực của trang trại SharePoint tại chỗ. Đối với các ứng dụng sử dụng dịch vụ mã bảo mật hiện có (STS), điều này có thể gây ra hành vi bất ngờ với các ứng dụng khác sử dụng mã truy cập. Thông tin khác: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Tạo một nhà phát hành mã thông báo bảo mật đáng tin cậy cho Microsoft Entra ID trên SharePoint

Trên máy chủ SharePoint tại chỗ, trong SharePoint 2013 Management Shell, hãy chạy các lệnh PowerShell này theo thứ tự cho sẵn.

Các lệnh sau yêu cầu thành viên quản trị mạng của trang trại SharePoint.

Để biết thông tin chi tiết về các lệnh PowerShell này, hãy xem Sử dụng lệnh ghép ngắn Windows PowerShell để quản lý bảo mật trong SharePoint 2013.

  1. Bật phiên PowerShell để thực hiện thay đổi cho dịch vụ thông báo bảo mật của cụm máy chủ SharePoint.

    $c = Get-SPSecurityTokenServiceConfig  
$c.AllowMetadataOverHttp = $true  
$c.AllowOAuthOverHttp= $true  
$c.Update()

  2. Đặt điểm cuối siêu dữ liệu.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"  
$acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId  
$issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId

  3. Tạo proxy ứng dụng dịch vụ kiểm soát mã thông báo mới trong Microsoft Entra ID.

    New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup

    Lưu ý

    Lệnh New- SPAzureAccessControlServiceApplicationProxy có thể trả về thông báo lỗi biểu thị rằng proxy ứng dụng có cùng tên đã tồn tại. Nếu proxy ứng dụng được đặt tên đã tồn tại, bạn có thể bỏ qua lỗi này.

  4. Tạo đơn vị phát hành dịch vụ kiểm soát mã thông báo mới trong SharePoint tại chỗ cho Microsoft Entra ID.

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer

Cấp quyền cho ứng dụng Customer Engagement truy nhập vào SharePoint và định cấu hình ánh xạ chứng thực dựa trên yêu cầu

Trên máy chủ SharePoint tại chỗ, trong SharePoint 2013 Management Shell, hãy chạy các lệnh PowerShell này theo thứ tự cho sẵn.

Các lệnh sau yêu cầu thành viên quản trị bộ sưu tập trang web SharePoint.

  1. Đăng ký ứng dụng Customer Engagement với bộ sưu tập trang web SharePoint.

    Nhập URL bộ sưu tập trang web SharePoint tại chỗ. Trong ví dụ này, https://sharepoint.contoso.com/sites/crm/ được sử dụng.

    Quan trọng

    Để hoàn tất lệnh này, Proxy Ứng dụng Dịch vụ Quản lý Ứng dụng SharePoint phải tồn tại và phải đang chạy. Để biết thêm chi tiết về cách bắt đầu và đặt cấu hình dịch vụ, hãy xem Thiết đặt Đăng ký và chủ để phụ ứng dụng dịch vụ Quản lý Ứng dụng trong Đặt cấu hình môi trường cho ứng dụng cho SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"  
Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"

  2. Cấp cho các ứng dụng Customer Engagement quyền truy cập vào trang web SharePoint. Thay thế https://sharepoint.contoso.com/sites/crm/ bằng URL site SharePoint của bạn.

    Lưu ý

    Trong ví dụ sau, ứng dụng Customer Engagement được cấp quyền vào tập hợp trang web SharePoint được chỉ định bằng cách sử dụng tham số tập hợp trang web Phạm vi. Tham số phạm vi chấp nhận các tuỳ chọn sau. Chọn phạm vi là thích hợp nhất cho cấu hình SharePoint của bạn.

    • site. Chỉ cấp quyền cho ứng dụng Customer Engagement vào trang web SharePoint được chỉ định. Không cấp quyền cho bất kỳ trang web phụ nào theo trang web đã đặt tên.
      • sitecollection. Cấp quyền cho ứng dụng Customer Engagement vào tất cả trang web và trang web phụ trong tập hợp trang web SharePoint đã chỉ định.
      • sitesubscription. Cấp quyền cho ứng dụng Customer Engagement vào tất cả trang web trong cụm máy chủ SharePoint, bao gồm tất cả tập hợp trang web, trang web và trang web phụ.
    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"  
Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"

  3. Đặt loại ánh xạ chứng thực dựa trên yêu cầu.

    Quan trọng

    Theo mặc định, xác thực dựa trên khiếu nại ánh xạ sẽ sử dụng địa chỉ email tài khoản Microsoft của người dùng và địa chỉ email công việc SharePoint tại chỗ của người dùng cho ánh xạ. Khi bạn sử dụng tính năng này, địa chỉ email của người dùng phải khớp giữa hai hệ thống. Để biết thêm chi tiết, hãy xem Chọn loại ánh xạ chứng thực dựa trên yêu cầu.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

Chạy trình hướng dẫn tích hợp SharePoint chạy trên máy chủ

Làm theo các bước sau:

  1. Xác minh rằng bạn có quyền thích hợp để chạy trình hướng dẫn. Thông tin thêm: Các quyền bắt buộc

  2. Chuyển tới Thiết đặt>Quản lý Tài liệu.

  3. Trong khu vực Quản lý Tài liệu, bấm vào Bật tích hợp SharePoint chạy trên máy chủ.

  4. Xem lại thông tin và sau đó bấm vào Tiếp theo.

  5. Đối với các site SharePoint, bấm vào Tại chỗ và sau đó bấm vào Tiếp theo.

  6. Nhập URL bộ sưu tập site tại chỗ SharePoint, chẳng hạn https://sharepoint.contoso.com/sites/crm. Trang web phải được đặt cấu hình cho SSL.

  7. Bấm vào tiếp theo.

  8. Phần xác nhận các trang web xuất hiện. Nếu tất cả các trang web được xác định là hợp lệ, bấm vào Cho phép. Nếu một hoặc nhiều trang web được xác định không hợp lệ, hãy xem Khắc phục sự cố xác thực dựa trên máy chủ.

Chọn thực thể mà bạn muốn đưa vào quản lý tài liệu

Theo mặc định, các thực thể Tài khoản, Bài viết, Khách hàng tiềm năng, Báo giá, Tài liệu bán hàng được bao gồm. Bạn có thể thêm hoặc loại bỏ các thực thể sẽ được dùng cho quản lý tài liệu với SharePoint trong Thiết đặt quản lý tài liệu. Chuyển tới Thiết đặt>Quản lý Tài liệu. Thông tin khác: Bật quản lý tài liệu trên các thực thể

Thêm tích hợp OneDrive cho Doanh nghiệp

Sau khi bạn hoàn thành cấu hình xác thực dựa trên máy chủ của ứng dụng Customer Engagement và SharePoint tại chỗ, bạn cũng có thể tích hợp OneDrive cho Doanh nghiệp. Với tích hợp ứng dụng Customer Engagement và OneDrive cho Doanh nghiệp, người dùng có thể tạo và quản lý tài liệu riêng tư bằng OneDrive cho Doanh nghiệp. Bạn có thể truy cập các tài liệu này sau khi quản trị viên hệ thống đã bật OneDrive cho Doanh nghiệp.

Bật OneDrive cho Doanh nghiệp

Trên Windows Server nơi Máy chủ SharePoint tại chỗ đang chạy, hãy mở SharePoint Management Shell và chạy các lệnh sau đây:

Add-Pssnapin *  
# Access WellKnown App principal  
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals  
  
# Create WellKnown App principal  
$ClientId = "00000007-0000-0000-c000-000000000000"  
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""http://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""http://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""http://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"  
  
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)  
  
$wellKnownApp.Update()

Chọn loại ánh xạ chứng thực dựa trên yêu cầu

Theo mặc định, xác thực dựa trên khiếu nại ánh xạ sẽ sử dụng địa chỉ email tài khoản Microsoft của người dùng và địa chỉ email công việc SharePoint tại chỗ của người dùng cho ánh xạ. Lưu ý rằng, cho dù bạn sử dụng loại chứng thực dựa trên yêu cầu nào thì các giá trị, chẳng hạn như địa chỉ email, phải trong khoảng giữa ứng dụng Customer Engagement và SharePoint. Đồng bộ hóa thư mục Microsoft 365 có thể giúp điều này. Thông tin thêm: Triển khai Đồng mục Microsoft 365 trong Microsoft Azure. Để sử dụng một loại ánh xạ chứng thực dựa trên yêu cầu, hãy xem Xác định ánh xạ yêu cầu tùy chỉnh dành cho tích hợp dựa trên SharePoint.

Quan trọng

Để cho phép thuộc tính email Công việc, SharePoint tại chỗ phải có Ứng dụng Dịch vụ Hồ sơ Người dùng được định cấu hình và đã bắt đầu. Để cho phép Ứng dụng Dịch vụ Hồ sơ Người dùng trong SharePoint, hãy xem Tạo, chỉnh sửa hoặc xóa ứng dụng dịch vụ Hồ sơ Người dùng trong SharePoint Server 2013. Để thực hiện thay đổi với thuộc tính người dùng, như email Công việc, hãy xem Chỉnh sửa thuộc tính hồ sơ người dùng. Để biết thêm thông tin về Ứng dụng Dịch vụ Hồ sơ Người dùng, xem Tổng quan về ứng dụng dịch vụ Hồ sơ Người dùng trong SharePoint Server 2013.

Xem thêm

Khắc phục sự cố xác thực dựa trên máy chủ
Thiết lập tích hợp SharePoint với các ứng dụng tương tác với khách hàng