Configurare l'autenticazione basata su server con Dynamics 365 Online e SharePoint locale
Data di pubblicazione: febbraio 2017
Si applica a: Dynamics 365 (online), Dynamics 365 (on-premises), Dynamics CRM 2016, Dynamics CRM Online
Introdotta con Aggiornamento 1 di Microsoft Dynamics CRM Online 2015, l'integrazione basata su server di Microsoft SharePoint per la gestione dei documenti può essere utilizzata per connettere Microsoft Dynamics 365 (online) a SharePoint locale. Quando usi l'autenticazione basata su server, vengono utilizzati i Servizi di dominio Azure AD quando il Service Broker e gli utenti non devono accedere a SharePoint.
.jpeg "Dynamics 365 (online) e SharePoint locale")
In questo argomento
Autorizzazioni obbligatorie
Configurare l'autenticazione da server a server con Dynamics 365 (online) e SharePoint locale
Aggiungere l'integrazione di OneDrive for Business
Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni
Autorizzazioni obbligatorie
Office 365
- Appartenenza al gruppo Amministratori globali di Office 365: obbligatoria per l'accesso a livello amministrativo all'abbonamento di Microsoft Office 365 e per l'esecuzione dei cmdlet di Microsoft AzurePowerShell.
Microsoft Dynamics 365 (online)
Privilegio Esegui l'Integrazione guidata SharePoint. Obbligatorio per l'esecuzione della procedura guidata per l'abilitazione dell'autenticazione basata su server in Microsoft Dynamics 365.
Il ruolo di sicurezza Amministratore di sistema dispone di questa autorizzazione per impostazione predefinita.
SharePoint locale
- Appartenenza al gruppo di amministratori della farm - è necessario per eseguire la maggior parte dei comandi di PowerShell sul server SharePoint.
Configurare l'autenticazione da server a server con Dynamics 365 (online) e SharePoint locale
Eseguire i passaggi nell'ordine indicato per configurare Dynamics 365 (online) con SharePoint 2013 locale.
Importante
-
I passaggi riportati di seguito devono essere completati nell'ordine indicato. Se un'attività non viene completata, ad esempio un comando di PowerShell che restituisce un messaggio di errore, è necessario risolvere il problema prima di continuare al comando, all'attività oppure al passaggio successivo.
-
Una volta che l'integrazione basata su server SharePoint viene abilitata, non è possibile tornare al precedente metodo di autenticazione basato sul client. Pertanto, non è possibile utilizzare il Componente Elenco di Microsoft Dynamics CRM dopo aver configurato l'organizzazione Dynamics 365 per l'integrazione di SharePoint basata su server.
Verificare i prerequisiti
Prima di configurare Microsoft Dynamics 365 (online) e SharePoint locale per l'autenticazione basata su server, i prerequisiti seguenti devono essere soddisfatti:
Prerequisiti di SharePoint
Microsoft SharePoint 2013 (locale) con Service Pack 1 (SP1) o versione successiva
Importante
Le versioni di Microsoft SharePoint Foundation 2013 non sono supportate per l'utilizzo con la gestione dei documenti di Microsoft Dynamics 365.
Aggiornamento rapido KB2883081 per SharePoint Foundation 2013, 12 agosto 2014 (Sts-x-none.msp)
Importante
Gli aggiornamenti seguenti sono prerequisiti a KB2883081 e possono essere richiesti.
Configurazione del SharePoint
SharePoint deve essere configurato esclusivamente per una sola distribuzione di farm.
Il sito Web di SharePoint deve essere accessibile tramite Internet. Il proxy inverso può essere richiesto per l'autenticazione di SharePoint. Ulteriori informazioni: Configurare un dispositivo proxy inverso per SharePoint Server 2013 ibrido
Il sito Web di SharePoint deve essere configurato per l'utilizzo di SSL (HTTPS) e il certificato deve essere emesso da un'autorità di certificazione radice pubblica.Ulteriori informazioni:SharePoint: Informazioni sui certificati SSL di canale protetto
Proprietà utente affidabile da utilizzare per il mapping dell'autenticazione basata sulle attestazioni tra SharePoint e Microsoft Dynamics 365.Ulteriori informazioni:Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni
Per la condivisione dei documenti, il servizio di ricerca di SharePoint deve essere abilitato.Ulteriori informazioni:Creare e configurare un'applicazione servizio di ricerca nel server di SharePoint
Per la funzionalità di gestione dei documenti quando si utilizzano le app per dispositivi mobili di Microsoft Dynamics 365, il server di SharePoint locale deve essere disponibile tramite Internet.
Se utilizzi Microsoft SharePoint 2013, per ogni farm di SharePoint è possibile configurare una sola organizzazione Microsoft Dynamics 365 per l'integrazione basata su server.
Altri prerequisiti
Licenza SharePoint Online. L'autenticazione basata sul server di Microsoft Dynamics 365 (online) a SharePoint locale deve avere il nome dell'entità servizio SharePoint registrato in Azure Active Directory. Per questo motivo, è necessaria almeno una licenza utente SharePoint Online. La licenza SharePoint Online può derivare da una singola licenza utente e in genere deriva da:
Una sottoscrizione SharePoint Online. Qualsiasi piano di SharePoint Online è sufficiente anche se la licenza non è assegnata a un utente.
Una sottoscrizione di Office 365 che include SharePoint Online. Ad esempio, se si utilizza Office 365 E3, disponi delle licenze appropriate anche se la licenza non è assegnata a un utente.
Per ulteriori informazioni sui piani, vedere Office 365: Selezionare un piano e Confrontare le opzioni di SharePoint
Le seguenti funzionalità software sono richieste per eseguire i cmdlet PowerShell descritti in questo argomento.
Assistente per l'accesso ai Microsoft Online Services per professionisti IT Beta
Modulo Azure Active Directory per Windows PowerShell (versione a 64 bit)
Importante
Al momento della stesura del presente documento, esiste un problema con la versione RTW dell'assistente per l'accesso ai Microsoft Online Services per professionisti IT. Finché il problema non viene risolto è consigliabile utilizzare la versione Beta.Ulteriori informazioni:Forum di Microsoft Azure: Impossibile installare il modulo Azure Active Directory per Windows PowerShell. MOSSIA non è installato.
Tipo di mapping appropriato per l'autenticazione basata sulle attestazioni da utilizzare per il mapping delle identità tra Microsoft Dynamics 365 (online) e SharePoint locale. Per impostazione predefinita, viene utilizzato l'indirizzo e-mail.Ulteriori informazioni:Concedere le autorizzazioni di Microsoft Dynamics 365 per accedere a SharePoint e configurare il mapping dell'autenticazione basata sulle attestazioni
Aggiornare l'entità servizio SharePoint Server in Servizi di dominio Azure Active Directory
Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire i comandi PowerShell nell'ordine indicato.
Preparare la sessione PowerShell.
I cmdlet seguenti consentono al computer di ricevere i comandi remoti e aggiungere i moduli di Office 365 alla sessione PowerShell. Per ulteriori informazioni sui cmdlet, vedere Cmdlet principali di Windows PowerShell.
Enable-PSRemoting -force New-PSSession Import-Module MSOnline -force Import-Module MSOnlineExtended -forceConnettersi a Office 365.
Durante l'esecuzione del comando Connect-MsolService, è necessario fornire un Account Microsoft valido che dispone dell'appartenenza Amministratore globale di Office 365 per la licenza di SharePoint Online necessaria.
Per informazioni dettagliate su ciascuno dei comandi Azure Active DirectoryPowerShell disponibili qui, vedere MSDN: Gestire Azure AD tramite Windows PowerShell
$msolcred = get-credential connect-msolservice -credential $msolcredImpostare il nome host di SharePoint.
Il valore da impostare per la variabile HostName deve essere il nome host completo della raccolta siti di SharePoint. Il nome host deve essere derivato dall'URL della raccolta siti e rispetta la differenza tra minuscole e maiuscole. In questo esempio, l'URL della raccolta siti è https://SharePoint.constoso.com/sites/salesteam, pertanto il nome host è SharePoint.contoso.com.
$HostName = "SharePoint.contoso.com"Ottenere l'ID (tenant) dell'oggetto di Office 365 e il nome dell'entità servizio (SPN, Service Principal Name) di SharePoint Server.
$SPOAppId = "00000003-0000-0ff1-ce00-000000000000" $SPOContextId = (Get-MsolCompanyInformation).ObjectID $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId $ServicePrincipalName = $SharePoint.ServicePrincipalNamesImposta il nome principale del servizio SharePoint Server (SPN) in Azure Active Directory.
$ServicePrincipalName.Add("$SPOAppId/$HostName") Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName
Una volta completati i comandi non chiudere SharePoint 2013 Management Shell e continuare con il passaggio successivo.
Aggiornare l'area di autenticazione di SharePoint per corrispondere quella di SharePoint Online
Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire questo comando Windows PowerShell.
Il seguente comando richiede l'appartenenza di amministratore di farm di SharePoint e imposta l'area di autenticazione della farm di SharePoint locale.
Avviso
L'esecuzione del comando modifica l'area di autenticazione della farm di SharePoint locale. Per le applicazioni che utilizzano un servizio token di sicurezza (STS, Security Token Service) esistente, è possibile che si verifichi un comportamento imprevisto con altre applicazioni che utilizzano i token di accesso. Ulteriori informazioni: Set-SPAuthenticationRealm.
Set-SPAuthenticationRealm -Realm $SPOContextId
Creare un'autorità emittente di token di sicurezza attendibile per Azure Active Directory in SharePoint
Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire i comandi PowerShell nell'ordine indicato.
I comandi seguenti richiedono l'appartenenza amministratore di farm di SharePoint.
Per informazioni dettagliate sui comandi PowerShell, vedere Utilizzare i cmdlet Windows PowerShell per amministrare la sicurezza in SharePoint 2013.
Abilitare la sessione PowerShell per apportare modifiche al servizio token di sicurezza per la farm di SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()Impostare l'endpoint dei metadati.
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1" $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextIdCreare il nuovo proxy dell'applicazione del servizio di controllo proxy in Azure Active Directory.
New-SPAzureAccessControlServiceApplicationProxy -Name "Internal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroupNota
Il comando New- SPAzureAccessControlServiceApplicationProxy può restituire un messaggio di errore che indica che il proxy dell'applicazione con lo stesso nome esiste già. Se il proxy dell'applicazione denominato esiste già, è possibile ignorare l'errore.
Crea la nuova autorità emittente del servizio di controllo token in SharePoint locale per Azure Active Directory.
$ = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer
Concedere le autorizzazioni di Microsoft Dynamics 365 per accedere a SharePoint e configurare il mapping dell'autenticazione basata sulle attestazioni
Nel server SharePoint locale, in SharePoint 2013 Management Shell, eseguire i comandi PowerShell nell'ordine indicato.
I comandi seguenti richiedono l'appartenenza amministratore della raccolta siti SharePoint.
Registrare Microsoft Dynamics 365 nella raccolta siti SharePoint.
Immettere l'URL della raccolta siti SharePoint locale. In questo esempio si utilizza https://sharepoint.contoso.com/sites/crm/.
Importante
Per eseguire questo comando, il proxy dell'applicazione del servizio di gestione dell'applicazione di SharePoint deve esistere ed essere in esecuzione. Per ulteriori informazioni su come avviare e configurare il servizio, vedere l'argomento secondario Configurare le applicazioni del servizio di gestione delle applicazioni e le impostazioni della sottoscrizione in Configurare un ambiente per le applicazioni per SharePoint (SharePoint 2013).
$site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"Concedere all'applicazione Microsoft Dynamics 365 l'accesso al sito di SharePoint. Sostituire https://sharepoint.contoso.com/sites/crm/ con un URL del sito di SharePoint.
Nota
Nell'esempio seguente, all'applicazione Dynamics 365 è concessa l'autorizzazione alla raccolta siti di SharePoint specificata utilizzando il parametro –Scope site collection. Il parametro Scope accetta le seguenti opzioni. Selezionare l'ambito più appropriato alla configurazione di SharePoint.
-
site. Concede l'autorizzazione dell'applicazione Dynamics 365 solo al sito Web SharePoint specificato. Non concede le autorizzazioni ai siti secondari nel sito denominato.
-
sitecollection. Concede l'autorizzazione dell'applicazione Dynamics 365 ai tutti i siti Web e ai siti secondari nella raccolta siti SharePoint specificata.
-
sitesubscription. Concede l'autorizzazione dell'applicazione Dynamics 365 a tutti i siti Web nel farm SharePoint incluse tutte le raccolte di siti, i siti Web e i siti secondari.
$app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/" Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"-
Impostare il tipo di mapping dell'autenticazione basata sulle attestazioni.
Importante
Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail di Account Microsoft dell'utente e l'indirizzo E-mail di lavoro di SharePoint locale dell'utente per eseguire il mapping. Se questo metodo viene utilizzato, gli indirizzi e-mail dell'utente devono corrispondere nei due sistemi. Per ulteriori informazioni, vedere Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni.
$map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
Eseguire la procedura guidata per l'integrazione di SharePoint basata su server
Nell'applicazione Microsoft Dynamics 365, eseguire la procedura seguente:
Passare a Impostazioni > Gestione dei documenti. (Come ci si arriva?)
Nell'area Gestione dei documenti, fai clic su Abilita integrazione con SharePoint basata su server.
Esamina le informazioni e fai clic su Avanti.
Per i siti di SharePoint, fai clic su Locale e quindi su Avanti.
Immettere l'URL della raccolta siti di SharePoint locale, ad esempio https://sharepoint.contoso.com/sites/crm. Il sito deve essere configurato per SSL.
Fai clic su Avanti.
La sezione di convalida siti viene visualizzata. Se tutti i siti vengono ritenuti validi, fai clic su Abilita. Se uno o più siti non vengono ritenuti validi, vedere Risoluzione dei problemi dell'autenticazione basata su server.
Selezionare le entità da includere nella gestione dei documenti
Per impostazione predefinita, sono incluse le entità account, articolo, lead, prodotto, offerta e documentazione di vendita. È possibile aggiungere o rimuovere le entità da utilizzare per la gestione dei documenti con SharePoint in Impostazioni gestione dei documenti in Microsoft Dynamics 365.Passare a Impostazioni > Gestione dei documenti. (Come ci si arriva?)Ulteriori informazioni:Centro clienti: Abilitare la gestione dei documenti per le entità
Aggiungere l'integrazione di OneDrive for Business
Una volta completata la configurazione dell'autenticazione basata su server di Microsoft Dynamics 365 e SharePoint locali, puoi integrare anche OneDrive for Business. Con l'integrazione di Microsoft Dynamics 365 e OneDrive for Business, Dynamics 365 gli utenti possono creare e gestire documenti privati utilizzando OneDrive for Business. Puoi accedere a questi documenti all'interno di Dynamics 365 dopo che l'amministratore di sistema ha abilitato OneDrive for Business.
Abilita OneDrive for Business
Nel server Windows in cui è in esecuzione SharePoint Server locale, apri SharePoint Management Shell ed esegui i seguenti comandi.
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Selezione di un tipo di mapping dell'autenticazione basata sulle attestazioni
Per impostazione predefinita, il mapping dell'autenticazione basata sulle attestazioni utilizza l'indirizzo e-mail di Account Microsoft dell'utente e l'indirizzo e-mail di lavoro di SharePoint locale dell'utente per eseguire il mapping. Nota che, qualsiasi sia il tipo di autenticazione basata sulle attestazioni utilizzato, i valori, ad esempio gli indirizzi e-mail, devono corrispondere tra Microsoft Dynamics 365 (online) e SharePoint. La sincronizzazione delle directory di Office 365 può facilitare le operazioni.Ulteriori informazioni:Distribuire la sincronizzazione delle directory (DirSync) di Office 365 in Microsoft Azure Per utilizzare un diverso tipo di mapping dell'autenticazione basata sulle attestazioni, vedere Definire un mapping delle attestazioni personalizzato per l'integrazione di SharePoint basata su server.
Importante
Per abilitare la proprietà dell'e-mail di lavoro, SharePoint locale deve disporre di un'applicazione del servizio di profilo utente configurata e avviata. Per abilitare l'applicazione del servizio del profilo utente in SharePoint, vedere Creare, modificare o eliminare le applicazioni del servizio del profilo utente in SharePoint Server 2013. Per modificare una proprietà dell'utente, ad esempio l'e-mail di lavoro, vedere Modificare una proprietà del profilo utente. Per ulteriori informazioni sull'applicazione del profilo utente, vedere Panoramica dell'applicazione del servizio del profilo utente in SharePoint Server 2013.
Vedere anche
Risoluzione dei problemi dell'autenticazione basata su server
Configurare l'integrazione di SharePoint con Microsoft Dynamics 365
© 2017 Microsoft. Tutti i diritti sono riservati. Copyright