Configurar la autenticación basada en servidor con Dynamics CRM Online y SharePoint local

 

Publicado: noviembre de 2016

Se aplica a: Dynamics CRM 2015

Introducida con Actualización 1 de Microsoft Dynamics CRM Online 2015, la integración de Microsoft SharePoint basada en servidor para la administración de documentos se puede utilizar ahora para conectar Microsoft Dynamics CRM Online con SharePoint local. Cuando se usa autenticación basada en servidor, Access Control Services (ACS) de Azure Active Directory se usa como agente de confianza y los usuarios no necesitan iniciar sesión en SharePoint. Además, el control de lista, que necesita la característica obsoleta de espacio seguro de SharePoint, no es necesaria para mostrar los documentos de SharePoint en vistas de Microsoft Dynamics 365.

CRM Online y SharePoint local

Permisos requeridos.

Office 365

  • Suscripción de administradores globales a Office 365. Esto es necesario para el acceso del nivel administrativo a la suscripción de Microsoft Office 365 y para ejecutar los cmdlets de Microsoft AzurePowerShell.

Microsoft Dynamics CRM Online

  • Privilegio Ejecutar el Asistente para la integración de SharePoint. Esto es necesario para ejecutar el Asistente para Habilitar la autenticación basada en servidor en Microsoft Dynamics 365.

    El rol de seguridad Administrador del sistema tiene este permiso de forma predeterminada.

SharePoint local

  • Pertenencia al grupo de Administradores de granja Esto es necesario para ejecutar la mayoría de los comandos de PowerShell en el servidor de SharePoint.

Configurar la autenticación de servidor a servidor con CRM Online y SharePoint local

Siga los pasos en el orden indicado para configurar CRM Online con SharePoint 2013 local.

Importante

Los pasos descritos aquí se deben completar en el orden indicado. Si una tarea no se finaliza, como un comando PowerShell que devuelve un mensaje de error, el problema debe resolver antes de continuar con el siguiente comando, tarea o paso.

Verificación de los requisitos previos

Antes de configurar Microsoft Dynamics CRM Online y SharePoint local para autenticación basada en servidor, deben cumplirse los siguientes requisitos previos.

Requisitos previos de SharePoint

Otros requisitos previos

  • Licencia de SharePoint Online. La autenticación basada en servidor de Microsoft Dynamics CRM Online a SharePoint local debe tener el nombre de entidad de seguridad de servicio (SPN) de SharePoint registrado en Azure Active Directory. Para ello, al menos una licencia de usuario SharePoint Online es obligatoria. La licencia de SharePoint Online pueden obtenerse de una sola licencia de usuario y se consigue a partir de una de las acciones siguientes:

    • Una suscripción a SharePoint Online. Cualquier plan de SharePoint Online es suficiente aunque la licencia no esté asignada a un usuario.

    • Una suscripción a Office 365 que incluya SharePoint Online. Por ejemplo, si tiene Office 365 E3, tiene la licencia adecuada aunque la licencia no esté asignada a un usuario.

    Para obtener más información sobre estos planes, consulte Office 365: Seleccione un plan y Compare las opciones de SharePoint

  • Las siguientes características del software se requieren para ejecutar los cmdlets de PowerShell descritos en este tema.

    Importante

    En el momento de redactar este texto, hay un problema con la versión de RTW del Ayudante para el inicio de sesión de Microsoft Online Services para los profesionales de TI. Hasta resolver el problema, se recomienda usar la versión beta.Más información:Foros de Microsoft Azure: No se puede instalar el módulo Azure Active Directory para Windows PowerShell. MOSSIA no está instalado.

  • Un tipo adecuado de asignación de autenticación basada en notificaciones para usar en la asignación de identidades entre Microsoft Dynamics CRM Online y SharePoint local. De forma predeterminada se usa la dirección de correo electrónico.Más información:Conceda permiso a Microsoft Dynamics CRM para acceder a SharePoint y configurar la asignación de autenticación basada en notificaciones

Actualice SharePoint Server SPN en ACS

En el servidor local de SharePoint , en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.

  1. Prepare la sesión de PowerShell.

    Los siguientes cmdlets permiten que el equipo reciba comandos remotos y agregar módulos Office 365 a la sesión de PowerShell. Para obtener más información acerca de estos cmdlets, vea Cmdlets del núcleo de Windows PowerShell.

    Enable-PSRemoting -force
    New-PSSession
    Import-Module MSOnline -force
    Import-Module MSOnlineExtended -force
    
  2. Conéctese a Office 365.

    Al ejecutar el comando Connect-MsolService, debe proporcionar un Cuenta de Microsoft válido que tenga pertenencia al Administrador global de Office 365 para la licencia de SharePoint Online que se requiere.

    Para obtener más información acerca de los comandos de Azure Active DirectoryPowerShell indicados aquí, consulte MSDN: Administración de Azure AD utilizando Windows PowerShell.

    $msolcred = get-credential
    connect-msolservice -credential $msolcred
    
  3. Establezca el nombre host de SharePoint.

    El valor que establece para la variable HostName debe ser el nombre de host completo de la colección de sitios de SharePoint. El nombre de host debe derivar URL de la colección de sitios y distingue mayúsculas de minúsculas. En este ejemplo, la dirección URL de la colección de sitios es https://SharePoint.constoso.com/sites/salesteam, por lo que el nombre de host es SharePoint.contoso.com.

    $HostName = "SharePoint.contoso.com"
    
  4. Obtenga el identificador del objeto de Office 365 y el Nombre principal de servicio (SPN) de SharePoint Server.

    $SPOAppId = "00000003-0000-0ff1-ce00-000000000000"
    $SPOContextId = (Get-MsolCompanyInformation).ObjectID
    $SharePoint = Get-MsolServicePrincipal -AppPrincipalId $SPOAppId
    $ServicePrincipalName = $SharePoint.ServicePrincipalNames
    
  5. Establezca el Nombre principal de servicio (SPN) de SharePoint Server en ACS.

    $ServicePrincipalName.Add("$SPOAppId/$HostName") 
    Set-MsolServicePrincipal -AppPrincipalId $SPOAppId -ServicePrincipalNames $ServicePrincipalName 
    

Después de completar estos comandos, no cierre el Shell de administración de SharePoint 2013 y continúe con el siguiente paso.

Actualice el dominio de SharePoint para que coincida con el de SharePoint Online

En el servidor de SharePoint local, en el Shell de administración de SharePoint 2013, ejecute este comando de Windows PowerShell.

El siguiente comando requiere la pertenencia del administrador de granja de SharePoint y establece el dominio de autenticación de la granja de SharePoint local.

Precaución

Al ejecutar este comando cambia el dominio de autenticación de la granja SharePoint local. Para las aplicaciones que usan un servicio de token de seguridad (STS) existente, esto podría provocar un comportamiento inesperado con otras aplicaciones que usan los símbolos de acceso. Más información: Set-SPAuthenticationRealm.

Set-SPAuthenticationRealm -Realm $SPOContextId

Crear un emisor de token de seguridad de confianza para ACS en SharePoint

En el servidor local de SharePoint , en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.

Los siguientes comandos requieren la pertenencia del administrador de granja de SharePoint.

Para obtener más información sobre estos comandos de PowerShell, consulte Usar los cmdlets de Windows PowerShell para administrar la seguridad en SharePoint 2013.

  1. Habilite la sesión de PowerShell para realizar cambios en el servicio de token de seguridad para la granja de SharePoint.

    $c = Get-SPSecurityTokenServiceConfig
    $c.AllowMetadataOverHttp = $true
    $c.AllowOAuthOverHttp= $true
    $c.Update()
    
  2. Establezca el extremo de metadatos.

    $metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $SPOContextId + "/metadata/json/1"
    $acsissuer = "00000001-0000-0000-c000-000000000000@" + $SPOContextId
    $issuer = "00000007-0000-0000-c000-000000000000@" + $SPOContextId
    
  3. Cree el nuevo proxy de aplicación del servicio de control de token en ACS.

    New-SPAzureAccessControlServiceApplicationProxy -Name "ACSInternal" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
    

    Nota

    El comando New- SPAzureAccessControlServiceApplicationProxy puede devolver un mensaje de error que indica que existe un proxy de aplicación de ACS con el mismo nombre. Si ya existe el proxy de aplicación ACS con nombre, puede ignorar el error.

  4. Creer el nuevo emisor del servicio de control de token en SharePoint local para ACS

    $acs = New-SPTrustedSecurityTokenIssuer –Name "ACSInternal" –IsTrustBroker:$true –MetadataEndpoint $metadataEndpoint -RegisteredIssuerName $acsissuer 
    

Conceda permiso a Microsoft Dynamics CRM para acceder a SharePoint y configurar la asignación de autenticación basada en notificaciones

En el servidor local de SharePoint , en el Shell de administración de SharePoint 2013, ejecute estos comandos de PowerShell en el orden indicado.

Los siguientes comandos requieren la pertenencia de administración de la colección de sitios de SharePoint.

  1. Registre Microsoft Dynamics 365 con la colección de sitios de SharePoint.

    Escriba la dirección URL de la colección de sitios de SharePoint local. En este ejemplo, se usa https://sharepoint.contoso.com/sites/crm/.

    Importante

    Para completar este comando, debe existir y ejecutarse el proxy de aplicación del servicio de administración de aplicaciones de SharePoint. Para obtener más información acerca de cómo iniciar y configurar el servicio, vea el subtema Configuración de los valores de suscripciones y aplicaciones de servicio de administración de aplicaciones en Configurar un entorno para aplicaciones de SharePoint (SharePoint 2013).

    $site = Get-SPSite "https://sharepoint.contoso.com/sites/crm/"
    Register-SPAppPrincipal -site $site.RootWeb -NameIdentifier $issuer -DisplayName "crm"
    
  2. Conceda a la aplicación de Microsoft Dynamics 365 acceso al sitio de SharePoint. Reemplace https://sharepoint.contoso.com/sites/crm/ con la dirección URL del sitio de SharePoint.

    Nota

    En el siguiente ejemplo, se concede permiso a la aplicación de Dynamics 365 a la colección de sitios de SharePoint especificada mediante el parámetro de colección de sitios –Scope. El parámetro Scope acepta las siguientes opciones. Elija el ámbito que sea el más adecuado para la configuración de SharePoint.

    • site. Concede permiso a la aplicación de Dynamics 365 al sitio web especificado de SharePoint solo. No concede permiso a ningún subsitio bajo el sitio con nombre.

    • sitecollection. Concede permiso a la aplicación de Dynamics 365 a todos los sitios web y subsitios dentro de la colección de sitios de SharePoint especificada.

    • sitesubscription. Concede permiso a la aplicación de Dynamics 365 a todos los sitios web de la granja de SharePoint, incluidas todas las colecciones de sitios, sitios web y subsitios.

    $app = Get-SPAppPrincipal -NameIdentifier $issuer -Site "https://sharepoint.contoso.com/sites/crm/"
    Set-SPAppPrincipalPermission -AppPrincipal $app -Site $site.Rootweb -Scope "sitecollection" -Right "FullControl"
    
  3. Establezca el tipo de asignación de la autenticación basada en notificaciones:

    Importante

    De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de Cuenta de Microsoft del usuario y la dirección de Correo electrónico de trabajo de SharePoint local del usuario para asignar. Cuando se usa esto, las direcciones de correo electrónico del usuario deben coincidir entre los dos sistemas. Para obtener más información, vea Selección de tipo de asignación de autenticación basada en notificaciones.

    $map1 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming
    

Ejecute el Asistente para Habilitar la integración de SharePoint basada en servidor

En la aplicación de Microsoft Dynamics 365, siga estos pasos.

  1. Vaya a Configuración > Administración de documentos.

  2. En el área Administración de documentos, elija Habilitar la integración de SharePoint basada en servidor.

  3. Revise la información y luego elija Siguiente.

  4. Para sitios de SharePoint, elija Local y luego Siguiente.

  5. Escriba la dirección URL de la colección de sitios de SharePoint local, como https://sharepoint.contoso.com/sites/crm. El sitio se debe configurar para SSL.

  6. Elija Siguiente.

  7. Aparecerá la sección de validación de sitios. Si se determina que todos los sitios son válidos, elija Habilitar. Si se determina que uno o varios sitios no son válidos, consulte Solución de problemas de autenticación basada en servidor.

Seleccione las entidades que desea incluir en administración de documentos

De forma predeterminada, se incluyen las entidades Cuenta, Artículo, Cliente potencial, Producto, Oferta y Documentación de ventas. Puede agregar o quitar las entidades que se usarán para la administración de documentos con SharePoint en Configuración de administración de documentos en Microsoft Dynamics 365.Vaya a Configuración > Administración de documentos.Más información:Centro de clientes: Habilitar la administración de documentos en entidades

Selección de tipo de asignación de autenticación basada en notificaciones

De forma predeterminada, la asignación de autenticación basada en notificaciones usará la dirección de correo electrónico de Cuenta de Microsoft del usuario y la dirección de correo electrónico de trabajo de SharePoint local del usuario para asignar. Observe que, cualquiera que sea el tipo de autenticación basada en notificaciones que use, los valores como direcciones de correo electrónico deben coincidir entre Microsoft Dynamics CRM Online y SharePoint. La sincronización de directorios de Office 365 puede ayudar a esto.Más información:Implemente la sincronización de directorios de Office 365 (DirSync) en Microsoft Azure Para usar un tipo diferente de asignación de autenticación basada en notificaciones, vea MSDN: Definir asignación de notificación personalizada para la integración basada en el servidor de SharePoint.

Importante

Para habilitar la propiedad de correo electrónico de trabajo, SharePoint local debe tener una aplicación de servicio de perfil de usuario iniciada y configurada. Para habilitar una aplicación de servicio de perfil de usuario en SharePoint, vea Crear, editar o eliminar aplicaciones de servicio de perfil de usuario en SharePoint Server 2013. Para cambiar una propiedad de usuario, como correo electrónico de trabajo, vea Editar una propiedad de perfil de usuario. Para obtener más información acerca de la aplicación del servicio de perfil de usuario, vea Información general de la aplicación del servicio de perfil de usuario en SharePoint Server 2013.

Ver también

Solución de problemas de autenticación basada en servidor
Configuración de la integración de SharePoint con Microsoft Dynamics CRM

© 2016 Microsoft Corporation. Todos los derechos reservados. Copyright