Configurar a autenticação baseada no servidor com o Customer Engagement (on-premises) e o SharePoint no local
Nota
Se tiver ativado o modo Interface Unificada apenas, antes de utilizar os procedimentos apresentados neste artigo, faça o seguinte:
- Selecione Settings () na barra de navegação.
- Selecione Definições Avançadas.
Este tópico descreve como configurar a integração baseada no servidor entre o Dynamics 365 Customer Engagement (on-premises) e o Microsoft SharePoint no Local.
Configurar a integração baseada no servidor com o Customer Engagement (on-premises) e o SharePoint
Siga os passos pela ordem indicada para configurar o Customer Engagement (on-premises) com o Servidor Microsoft SharePoint no Local.
Importante
- Os comandos do PowerShell devem ser executados no modo de administrador. Consulte: Como inicio o PowerShell?
- Se uma tarefa não for concluída, (por exemplo: se um comando do PowerShell devolver uma mensagem de erro), o problema tem de ser resolvido antes de continuar para o comando, tarefa ou passo seguinte.
- Depois de ativar a integração do SharePoint baseada em servidor, não conseguirá reverter para o método de autenticação baseado no cliente anterior. Por isso, não pode utilizar o Componente de Lista do Microsoft Dynamics CRM depois de configurar a sua organização Customer Engagement (on-premises) para a integração do SharePoint baseada no servidor.
Verificar os pré-requisitos
Antes de configurar o Customer Engagement (on-premises) e o SharePoint No Local para a integração baseada em servidor, são necessárias as seguintes permissões e pré-requisitos.
Permissões necessárias
Customer Engagement (on-premises)
Direito de acesso de Administrador do Sistema – é necessário executar o assistente Ativar Integração do SharePoint com Base no Servidor no Customer Engagement (on-premises).
Se estiver a utilizar um certificado auto-assinado sessão para fins de avaliação, tem de ser membro do grupo Administradores locais no computador em que está a executar o Dynamics 365 Server.
SharePoint no Local
- Associação ao grupo Administradores de Farm – é necessário para executar a maioria dos comandos do Windows PowerShell no servidor do SharePoint.
Pré-requisitos do SharePoint
Uma das seguintes versões do SharePoint:
Edição de Subscrição do Serviço SharePoint.
SharePoint 2019 no Local.
A integração baseada em servidores entre o Dynamics 365 Customer Engagement (on-premises) e o Microsoft SharePoint 2019 no local requer Microsoft Dynamics 365 Server a atualização do v 9.0 (no local) 0,13, ou posterior.
SharePoint 2016 no Local.
O Microsoft SharePoint 2013 no Local com Service Pack 1 (SP1) ou uma versão posterior com as seguintes atualizações.
Instalar a Atualização Cumulativa (CU) de abril de 2019 para a família de produtos SharePoint 2013. Esta CU de abril de 2019 inclui todas as correções do SharePoint 2013 (incluindo todas as correções de segurança do SharePoint 2013) lançadas desde o SP1. A CU de abril de 2019 não inclui o SP1. Tem de instalar o SP1 antes de instalar a CU de abril de 2019.
Configuração do SharePoint
O SharePoint tem de ser configurado para uma implementação de farm único.
Para utilizar o mapeamento de autenticações baseadas em afirmações predefinido, o domínio do Active Directory em que o servidor do SharePoint e o Dynamics 365 Server estão localizados tem de ser o mesmo ou o domínio em que o servidor do SharePoint está localizado tem de confiar no domínio em que o Dynamics 365 Server está localizado. Mais informações: Acerca do mapeamento de autenticações baseadas em afirmações
O site SharePoint tem de ser configurado para utilizar TLS/SSL (HTTPS) e o certificado tem de ser emitido por uma Autoridade de Certificação pública de raiz. Mais informações: SharePoint: acerca de certificados SSL de Canal Seguro
O Proxy de Aplicação do Serviço de Gestão de Aplicações tem de estar criado e iniciado. Mais informações: Configurar um ambiente para aplicações para o SharePoint
Uma Aplicação de Serviço de Perfil de Utilizador tem de estar configurada e iniciada. Mais informações: Criar, editar ou eliminar aplicações de serviço de Perfil de Utilizador no SharePoint Server 2013
Para a partilha de documentos , o serviço de pesquisa do SharePoint tem de estar ativado. Mais informações: Criar e configurar uma aplicação de serviço de Pesquisa no SharePoint Server
Para a funcionalidade de gestão de documentos quando utiliza as aplicações para dispositivos móveis do Microsoft Customer Engagement (on-premises), o servidor SharePoint no local tem de estar disponível através da Internet.
Para permitir que os utilizadores criem bibliotecas de documentos do SharePoint a partir do Customer Engagement (on-premises), são necessárias as seguintes permissões e configurações:
A conta do Active Directory do utilizador do Customer Engagement (on-premises) tem de ser membro do grupo Membros do Site na coleção de sites do SharePoint onde os documentos estão armazenados.
Por predefinição, o mapeamento de autenticação baseada em afirmações utilizará o endereço de e-mail do SharePoint do utilizador do Customer Engagement (on-premises) e o endereço de e-mail de trabalho do SharePoint no local do utilizador para mapeamento. Quando este mapeamento é utilizado, os endereços de correio eletrónico do utilizador têm de coincidir nos dois sistemas. Mais informações: Configurar o mapeamento de afirmações do utilizador com o Endereço de E-mail do SharePoint
Outros pré-requisitos e limitações
É necessário utilizar um certificado X509 digital para a autenticação baseada no servidor entre o Dynamics 365 Server e o SharePoint. As chaves do certificado têm de ter uma encriptação mínima de 2048 bits. Na maioria dos casos este certificado tem de ser emitido por uma autoridade de certificação fidedigna, mas para para fins de avaliação pode utilizar um certificado de auto-assinado.
A identidade para o conjunto aplicacional CRMAppPool tem de ter acesso de leitura ao certificado x509 que será utilizado para a autenticação baseada em servidor com o Dynamics 365 Server e o servidor do SharePoint. Pode utilizar o snap-in Certificados de MMC para conceder este acesso.
Se utiliza o Microsoft SharePoint 2013 para cada farm do SharePoint, só é possível configurar uma organização do Customer Engagement (on-premises) para a integração baseada no servidor. No entanto, pode ligar mais de uma organização do Customer Engagement (on-premises) a um farm de servidores SharePoint 2016.
Preparar o Dynamics 365 Server para integração baseada no servidor
O CertificateReconfiguration.ps1 é um script do Windows PowerShell que instala um certificado no arquivo de certificados local, concede à identidade Serviço de Processamento Assíncrono do Microsoft Dynamics 365 especificado acesso ao certificado e atualiza o Dynamics 365 Server para utilizar o certificado.
Adicionar o certificado servidor-a-servidor ao arquivo de certificados local e à base de dados de configuração do Customer Engagement (on-premises)
- Abra uma sessão de comandos do PowerShell em todos os servidores onde a função Servidor Completo do Dynamics 365 Server está instalada.
Importante
Tem de executar o comando descrito aqui em todos os servidores nos quais a função de Servidor Aplicacional Web está em execução.
Altere a sua localização para a pasta <drive>:\Program Files\Microsoft Dynamics CRM\Tools.
Execute o script CertificateReconfiguration.ps1 do Windows PowerShell conforme explicado aqui:
certificateFilepath\Personalcertfile.pfx . Parâmetro obrigatório que especifica o caminho completo para o ficheiro de troca de informações pessoais (.pfx). Mais informações: Trabalhar com certificados digitais
palavra-passepersonal_certfile_password. Parâmetro obrigatório que especifica a palavra-passe do certificado privado.
certificateType S2STokenIssuer. Parâmetro obrigatório que especifica o tipo do certificado. Para a integração baseada no servidor do Customer Engagement (on-premises) e do SharePoint, só é suportado o S2STokenIssuer.
serviceAccount ‘DomainName\UserName’ ou ‘Network Service’.
serviceAccount 'contoso\\CRMWebAppServer' or ‘Network Service’. Required parameter that specifies the identity for the Web Application Server role. The identity is either a domain user account, such as *contoso\\CRMWebAppServer*, or Network Service. The identity will be granted permission to the certificate.
updateCrm. Adiciona as informações de certificado à base de dados de configuração do Microsoft Customer Engagement (on-premises).
Importante
Mesmo que tenha várias funções Servidor Aplicacional Web ou Serviço Assíncrono implementadas, só precisa de executar uma vez o comando com o parâmetro updateCrm.
storeFindType FindBySubjectDistinguishedName. Especifica o tipo de arquivo de certificados. Por predefinição, este valor é FindBySubjectDistinguishedName e é recomendado quando executa o script.
Importante
Embora os parâmetros updateCrm e StoreFindType sejam opcionais para executar o comando, estes parâmetros são necessários para a integração do SharePoint baseada no servidor para as informações do certificado serem adicionadas à base de dados de certificação.
Exemplo
.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount Domain\UserName -storeFindType FindBySubjectDistinguishedName
Preparar o farm do SharePoint para integração baseada no servidor.
Obter o ID do Realm do Dynamics 365
Iniciar o assistente de Integração com o SharePoint Baseada no Servidor. Aceda a Definições>Gestão de Documentos.
Selecione Seguinte, selecione No Local e, em seguida, Seguinte.
O ID é apresentado ao lado do ID do Realm do Dynamics 365 na página.
Gorjeta
Guarde o ID do Realm do Dynamics 365 num ficheiro de texto numa partilha de rede segura ou num armazenamento em nuvem. Em seguida, poderá obtê-lo facilmente na localização onde executar o assistente Ativar a Integração com o SharePoint Baseada no Servidor.
No servidor do SharePoint no local, na Shell de Gestão do SharePoint, execute estes comandos do PowerShell pela ordem indicada.
Preparar o servidor do SharePoint para autenticação do Dynamics 365 Server
Se estiver a utilizar um shell de gestão do PowerShell que não seja o Shell de Gestão do SharePoint, tem de registar o módulo do SharePoint utilizando o comando seguinte.
Add-PSSnapin Microsoft.SharePoint.PowerShell
Ative a sessão do PowerShell para efetuar alterações ao serviço de tokens de segurança para o farm do SharePoint.
$c = Get-SPSecurityTokenServiceConfig $c.AllowMetadataOverHttp = $true $c.AllowOAuthOverHttp= $true $c.Update()
Crie o objeto do serviço de tokens de segurança fidedigno, em que NomeOrganização é o nome exclusivo da organização do Customer Engagement (on-premises) e CrmServer é o nome do servidor Web IIS em que a função de servidor aplicacional Web do Customer Engagement (on-premises) está instalada, e -Name “crm” é utilizado para atribuir um nome ao servidor de tokens de segurança (STS).
Importante
-
Não é possível ligar mais de uma organização do Customer Engagement (on-premises) a um único farm de servidores do Microsoft SharePoint 2013. No entanto, pode ligar mais de uma organização do Customer Engagement (on-premises) a um farm de servidores SharePoint 2016.
-
Quando executa o comando New-SPTrustedSecurityTokenIssuer do PowerShell, tem de especificar o HTTPS para o ponto final dos metadados do Customer Engagement (on-premises) quando o site da aplicação do Customer Engagement (on-premises) só tem HTTPS ou quando tem enlaces HTTPS e HTTP, como o seguinte exemplo.
New-SPTrustedSecurityTokenIssuer –Name "crm" –IsTrustBroker:$false –MetadataEndpoint https://CrmServer/XrmServices/2015/metadataendpoint.svc/json?orgName=OrganizationName
-
Registe o Customer Engagement (on-premises) com a coleção de sites SharePoint.
Para executar os seguintes comandos, tem de especificar dois parâmetros:
O URL da coleção de sites do SharePoint No Local. Neste exemplo,
https://sharepoint.contoso.com/sites/crm/
é utilizado para o URL da coleção de sites.O CrmRealmId é o ID da organização do Customer Engagement (on-premises) que pretende utilizar para a gestão de documentos com o SharePoint. Mais informações: Obter o ID de Realm do Dynamics 365
Importante
Para concluir estes comandos, o Proxy da Aplicação de Serviço de Gestão de Aplicações do SharePoint tem de existir e estar em execução. Para mais informações sobre como configurar e iniciar o serviço, consulte o tópico Configurar as Definições de Subscrição e as aplicações de serviço de Gestão de Aplicações em Configurar um ambiente para aplicações para o SharePoint.
$CrmRealmId = "CRMRealmId" $Identifier = "00000007-0000-0000-c000-000000000000@" + $CrmRealmId $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/" Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $Identifier -DisplayName "crm"
Conceda ao Customer Engagement (on-premises) acesso ao site SharePoint.
Nota
No exemplo abaixo, é concedida permissão ao Customer Engagement (on-premises) para a coleção de sites do SharePoint especificada através da utilização do parâmetro –Scope sitecollection. O parâmetro Scope aceita as seguintes opções. Utilize o âmbito mais apropriado para a configuração do SharePoint:
-
site. Concede ao Customer Engagement (on-premises) permissão apenas para o site SharePoint especificado. Não concede permissão para nenhum subsite do site indicado.
-
sitecollection. Concede ao Customer Engagement (on-premises) permissão para todos os sites e subsites na coleção de sites SharePoint especificada.
-
sitesubscription. Concede ao Customer Engagement (on-premises) permissão para todos os sites no farm SharePoint, incluindo todas as coleções de sites, sites e subsites.
$app = Get-SPAppPrincipal -NameIdentifier $Identifier -Site $site.Rootweb Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl" -EnableAppOnlyPolicy #"Set up claims-based authentication mapping" New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
-
Executar o assistente para Ativar a Integração com o SharePoint Baseada no Servidor
No Customer Engagement (on-premises), vá a Definições>Gestão de Documentos.
Na área Gestão de Documentos, selecione Ativar a integração com o SharePoint Baseada no Servidor.
Reveja as informações e selecione Seguinte.
Para os sites SharePoint, selecione No Local e selecione Seguinte.
Na fase Preparar Sites, introduza as seguintes informações:
URL da coleção de sites do SharePoint no local, tal como https://sharepoint.contoso.com/sites/crm. O site tem de estar configurado para TLS/SSL.
ID de Realm do SharePoint. Obter o ID de Realm do SharePoint
Selecione Seguinte.
A secção de validação de sites é apresentada. Se todos os sites forem válidos, selecione Ativar. Se um ou mais sites forem inválidos, consulte a Resolução de problemas da integração baseada no servidor do Dynamics 365 Server com o SharePoint Server No Local.
Selecionar as entidades que pretende incluir na gestão de documentos
Por predefinição, as entidades Conta, Artigo, Oportunidade Potencial, Produto, Proposta e Especificações são incluídas. Pode adicionar ou remover as entidades que serão utilizadas para a gestão de documentos com o SharePoint em Definições de Gestão de Documentos em aplicações Customer Engagement. Aceda a Definições>Gestão de Documentos. Mais informações: Ativar a gestão de documentos do SharePoint para entidades específicas.
Adicionar a integração com o OneDrive para Empresas
Depois de concluir a configuração da integração baseada no servidor para o Customer Engagement (on-premises) e o SharePoint No Local, também poderá integrar o OneDrive para Empresas. Com a integração do OneDrive para Empresas com o Customer Engagement (on-premises), os utilizadores do Customer Engagement (on-premises) podem criar e gerir documentos privados utilizando o OneDrive para Empresas. Estes documentos podem ser acedidos no Customer Engagement (on-premises) após o administrador de sistema ativar o OneDrive para Empresas.
Ativar o OneDrive para Empresas
No Windows Server em que o SharePoint Server no Local está em execução, abra a Shell de Gestão do SharePoint e execute os seguintes comandos.
Add-Pssnapin *
# Access WellKnown App principal
[Microsoft.SharePoint.Administration.SPWebService]::ContentService.WellKnownAppPrincipals
# Create WellKnown App principal
$ClientId = "00000007-0000-0000-c000-000000000000"
$PermissionXml = "<AppPermissionRequests AllowAppOnlyPolicy=""true""><AppPermissionRequest Scope=""https://sharepoint/content/tenant"" Right=""FullControl"" /><AppPermissionRequest Scope=""https://sharepoint/social/tenant"" Right=""Read"" /><AppPermissionRequest Scope=""https://sharepoint/search"" Right=""QueryAsUserIgnoreAppPrincipal"" /></AppPermissionRequests>"
$wellKnownApp= New-Object -TypeName "Microsoft.SharePoint.Administration.SPWellKnownAppPrincipal" -ArgumentList ($ClientId, $PermissionXml)
$wellKnownApp.Update()
Resolução de Problemas do Customer Engagement (on-premises) para a Integração do SharePoint Server no Local Baseada no Servidor
Para obter informações sobre como efetuar a resolução de problemas do assistente Ativar a Integração com o SharePoint Baseada no Servidor e ver os registos de monitorização do SharePoint, consulte Resolução de problemas de autenticação baseada no servidor.
Problemas conhecidos
Para a resolução de problemas e problemas conhecidos da gestão de documentos com o SharePoint, consulte Resolução de problemas de autenticação baseada no servidor.
Acerca do mapeamento de autenticações baseadas em afirmações.
Quando utiliza o mapeamento de autenticação baseada em afirmações, o domínio do Active Directory no qual o servidor do SharePoint e Dynamics 365 Server estão localizados tem de ser o mesmo. Os servidores localizados em florestas ou domínios do Active Directory diferentes não são suportados. Da mesma forma, os utilizadores localizados em domínios externos ao Dynamics 365 Server ou SharePoint Server não terão acesso aos documentos.
Por predefinição, a autenticação baseada no servidor entre o Customer Engagement (on-premises) e o SharePoint no local utiliza o identificador de segurança do utilizador (SID) para autenticar cada utilizador. Se pretender utilizar um mapeamento de autenticação baseada em afirmações personalizado, tal como o endereço de e-mail do utilizador, consulte Definir o mapeamento de afirmações personalizado para a integração do SharePoint baseada no servidor
Configurar o mapeamento de afirmações do utilizador com o Endereço de E-mail do SharePoint
Abra o editor de formulários para personalizar o formulário do utilizador. Para o fazer, aceda a Definições>Segurança>Utilizadores e, em seguida, abra o registo de utilizador pretendido.
Na barra de ferramentas, selecione ... e, em seguida, selecione Editor de Formulários.
Localize o campo Endereço de E-mail do SharePoint no painel Explorador de Campos e arraste-o para a secção Informações do Utilizador do formulário do utilizador.
Na barra de ferramentas do editor de formulários, selecione Guardar e, em seguida, selecione Publicar.
Feche o editor de formulários e atualize o separador do browser para apresentar o campo recém-adicionado no registo de utilizador.
No campo Endereço de E-mail do SharePoint do registo de utilizador, introduza o endereço de e-mail do utilizador, exatamente como aparece no SharePoint.
Selecione Guardar.
Repita os dois passos anteriores para todos os utilizadores que irão necessitar de gestão de documentos.
Trabalhar com certificados digitais
O seguinte procedimento cria um ficheiro de troca de informações pessoais (.pfx).
Num computador que tenha acesso ao certificado que pretende utilizar para autenticação servidor-a-servidor, selecione Iniciar, selecione Executar, escreva MMC e prima Enter.
Selecione Ficheiro e selecione Adicionar/Remover Snap-in.
Na lista Snap-ins Disponíveis, selecione Certificados, selecione Adicionar, selecione Conta do computador, selecione Seguinte, selecione Concluir para selecionar o computador local e selecione OK.
Expanda Certificados, expanda Pessoal e selecione Certificados.
Clique com o botão direito do rato no certificado que pretende utilizar para criar um ficheiro de certificado pessoal, aponte para Todas as Tarefas e selecione Exportar.
Selecione Seguinte, selecione Sim para exportar a chave provada, certifique-se de que as seguintes opções estão selecionadas e selecione Seguinte.
Inclua todos os certificados no caminho de certificação se possível
Exportar todas as propriedades expandidas
Selecione Procurar e introduza uma localização e um nome de ficheiro para o ficheiro .pfx e selecione Guardar.
Selecione Seguinte e selecione Concluir.
Obter o ID de Realm do SharePoint
Execute o seguinte comando do PowerShell na Shell de Gestão do SharePoint, em que https://sharepoint.contoso.com/sites/crm/ é o URL da coleção de sites do SharePoint.
Get-SPAuthenticationRealm -ServiceContext https://sharepoint.contoso.com/sites/crm/
Em alternativa, pode localizar o ID de Realm do SharePoint na definição das permissões da aplicação do site da coleção de sites do SharePoint.
Inicie sessão na coleção de sites SharePoint que utilizará para a gestão de documentos com o Customer Engagement (on-premises).
Aceda a Definições do site>Permissões da aplicação do site.
O ID de Realm é apresentado em Identificador da Aplicação, à direita do símbolo @. Copie-o para a área de transferência. No Assistente para Ativar a Integração com o SharePoint Baseada no Servidor, cole apenas no GUID. Não cole em qualquer parte do identificador à esquerda de @.