Configurare l‘autenticazione basata su server con Customer Engagement (on-premises) e SharePoint Online

  • Articolo

In questo argomento viene descritto come configurare l'autenticazione basata su server tra Dynamics 365 Customer Engagement (on-premises) e Microsoft SharePoint Online.

Autorizzazioni obbligatorie

Customer Engagement (on-premises)

  • Ruolo di sicurezza Amministratore di sistema. Obbligatorio per eseguire la procedura guidata Abilita integrazione di SharePoint basata su server in Customer Engagement (on-premises).

  • Se utilizzi un certificato autofirmato a scopo di valutazione, devi appartenere al gruppo degli amministratori locali nel computer in cui è eseguito Microsoft Dynamics 365 Server.

SharePoint Online

  • Office 365 Appartenenza degli amministratori globali. Obbligatorio per l'accesso a livello amministrativo all'abbonamento di Office 365 e per l'esecuzione dei cmdlet di Microsoft AzurePowerShell

Impostare l'autenticazione basata su server con Customer Engagement (on-premises) e SharePoint Online

Esegui i passaggi nell'ordine indicato per configurare Customer Engagement (on-premises) con SharePoint Online.

Importante

  • I passaggi riportati di seguito devono essere completati nell'ordine indicato. Se un'attività non viene completata, ad esempio un comando di Windows PowerShell che restituisce un messaggio di errore, è necessario risolvere il problema prima di continuare con il comando, l'attività oppure il passaggio successivo.

  • Una volta che l'integrazione basata su server SharePoint viene abilitata, non è possibile tornare al precedente metodo di autenticazione basato sul client. Pertanto, non è possibile utilizzare il componente Elenco di Microsoft Dynamics CRM dopo aver configurato l'organizzazione Customer Engagement (on-premises) per l'integrazione di SharePoint basata su server.

  • Per collegare più organizzazioni Customer Engagement (on-premises) nella stessa distribuzione di Customer Engagement (on-premises) a più siti SharePoint Online, i siti SharePoint devono essere nello stesso tenant di Microsoft Office 365.

Verificare i prerequisiti

Prima di configurare Customer Engagement (on-premises) e SharePoint Online per l'autenticazione basata su server, devi soddisfare i prerequisiti seguenti:

  • La distribuzione di Customer Engagement (on-premises) deve già essere configurata e disponibile tramite Internet. Ulteriori informazioni: Configurare IFD per Dynamics 365 for Customer Engagement (on-premises)

  • Microsoft Dynamics 365 Hybrid Connector. Microsoft Dynamics 365 Hybrid Connector è un connettore gratuito che ti consente di utilizzare l'autenticazione basata su server con Dynamics 365 (on-premises) e SharePoint Online. Ulteriori informazioni: Connettore ibrido di Microsoft Dynamics CRM

  • Un certificato digitale x509 emesso da un'autorità di certificazione attendibile che sarà utilizzato per l'autenticazione tra Customer Engagement (on-premises) e SharePoint Online. Se stai valutando l'autenticazione basata su server, puoi utilizzare un certificato autofirmato.

La seguente funzionalità software è richiesta per eseguire i cmdlet di Windows PowerShell descritti in questo argomento.

Importante

Al momento della stesura del presente documento, esiste un problema con la versione RTW dell'assistente per l'accesso ai Microsoft Online Services per professionisti IT. Finché il problema non viene risolto è consigliabile utilizzare la versione Beta. Ulteriori informazioni: Forum di Microsoft Azure: Impossibile installare il modulo Azure Active Directory per Windows PowerShell. MOSSIA non è installato.

Configurare l'autenticazione basata su server

  1. Sul Dynamics 365 Server in cui è in esecuzione il ruolo server Strumenti di distribuzione, avvia il modulo Azure Active Directory per Windows PowerShell.

    Importante

    Il computer in cui esegui i seguenti comandi di PowerShell deve disporre delle caratteristiche software di prerequisito descritte in precedenza in Verificare i prerequisiti.

  2. Prepara il certificato.

    $CertificateScriptWithCommand = “.\CertificateReconfiguration.ps1 -certificateFile c:\Personalcertfile.pfx -password personal_certfile_password -updateCrm -certificateType S2STokenIssuer -serviceAccount contoso\CRMWebApplicationService -storeFindType FindBySubjectDistinguishedName”

 Invoke-Expression -command $CertificateScriptWithCommand

  3. Prepara la sessione di PowerShell.

    I cmdlet seguenti consentono al computer di ricevere i comandi remoti e aggiungere i moduli di Office 365 alla sessione PowerShell. 

    Enable-PSRemoting -force
New-PSSession
Import-Module MSOnline -force
Import-Module MSOnlineExt -force

  4. Connettersi a Office 365.

    Durante l'esecuzione del comando Connect-MsolService, devi fornire un account Microsoft valido che dispone dell'appartenenza Amministratore globale di Office 365 per la licenza di SharePoint Online necessaria.

    Per informazioni dettagliate su ciascuno dei comandi del modulo MSOnline per Azure Active Directory PowerShell elencati qui, vedi MSOnline.

    $msolcred = get-credential
connect-msolservice -credential $msolcred

  5. Imposta il certificato.

    $Certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$Certificate.Import(“c:\Personalcertfile.cer”)
$CERCertificateBin = $Certificate.GetRawCertData()
$CredentialValue = [System.Convert]::ToBase64String($CERCertificateBin)

  6. Imposta il nome principale del servizio Azure Active Directory (SPN) in SharePoint.

    Sostituisci *.contoso.com con il nome del dominio in cui si trova Microsoft Dynamics 365 Server.

    Importante

    Sono supportate solo le chiavi asimmetriche come parametro Tipo nel comando New-MsolServicePrincipalCredential. Le chiavi simmetriche o password non sono sicure e sono disabilitate.

    $RootDomain = “*.contoso.com”
$CRMAppId = "00000007-0000-0000-c000-000000000000" 
New-MsolServicePrincipalCredential -AppPrincipalId $CRMAppId -Type asymmetric -Usage Verify -Value $CredentialValue
$CRM = Get-MsolServicePrincipal -AppPrincipalId $CRMAppId
$ServicePrincipalName = $CRM.ServicePrincipalNames
$ServicePrincipalName.Remove("$CRMAppId/$RootDomain")
$ServicePrincipalName.Add("$CRMAppId/$RootDomain")
Set-MsolServicePrincipal -AppPrincipalId $CRMAppId -ServicePrincipalNames $ServicePrincipalName

  7. Configura il Microsoft Dynamics 365 Server per l'autenticazione basata su server con SharePoint.

    Add-PSSnapin Microsoft.Crm.PowerShell 
$setting = New-Object "Microsoft.Xrm.Sdk.Deployment.ConfigurationEntity"
$setting.LogicalName = "ServerSettings"
$setting.Attributes = New-Object "Microsoft.Xrm.Sdk.Deployment.AttributeCollection"
$attribute1 = New-Object "System.Collections.Generic.KeyValuePair[String, Object]" ("S2SDefaultAuthorizationServerPrincipalId", "00000001-0000-0000-c000-000000000000")
$setting.Attributes.Add($attribute1)
$attribute2 = New-Object "System.Collections.Generic.KeyValuePair[String, Object]" ("S2SDefaultAuthorizationServerMetadataUrl", "https://accounts.accesscontrol.windows.net/metadata/json/1")
$setting.Attributes.Add($attribute2)
Set-CrmAdvancedSetting -Entity $setting

Eseguire la procedura guidata Abilita integrazione di SharePoint basata su server

  1. In Customer Engagement (on-premises) passa a Gestione dei documenti.

  2. Nell'area Gestione dei documenti, seleziona Abilita integrazione di SharePoint basata su server.

  3. Esamina le informazioni e quindi seleziona Avanti.

  4. Per i siti di SharePoint, seleziona Online e quindi Avanti.

  5. Nella fase Prepara siti immetti le seguenti informazioni.

    • Immetti l'URL della raccolta siti SharePoint Online, ad esempio https://contoso.sharepoint.com/sites/salesteam.

    • Immetti l'ID tenant. Ulteriori informazioni: Ottenere l'ID di tenant di SharePoint Online

  6. Seleziona Avanti.

  7. La sezione di convalida siti viene visualizzata. Se tutti i siti vengono ritenuti validi, seleziona Abilita. Se uno o più siti sono dichiarati non validi, vedi Risoluzione dei problemi dell'autenticazione basata su server.

Ottenere l'ID di tenant di SharePoint Online

Utilizzare PowerShell

  1. Nel modulo Azure Active Directory per la shell di Windows PowerShell, esegui i comandi seguenti.

    $CRMContextId = (Get-MsolCompanyInformation).ObjectID
$CRMContextId

  2. Copia negli Appunti il GUID che viene visualizzato.

Utilizzare le impostazioni del sito

  1. Accedi alla raccolta di siti di SharePoint che utilizzerai per la gestione dei documenti con Customer Engagement (on-premises).

  2. Vai a Impostazioni sito>Autorizzazioni app sito.

    L'ID di tenant viene visualizzato in Identificatore app, a destra del segno @. Copia e incolla solo il GUID. Non incollare alcuna parte dell'identificatore a sinistra del segno @.

La risoluzione dei problemi di convalida della procedura guidata Abilita autenticazione basata su server

Autenticazione non riuscita. Questo errore può essere restituito quando il certificato utilizzato per l'autenticazione tra server è assente o non è valido.