通过

配置 Microsoft Dynamics 365 服务器以进行基于声明的身份验证

 

发布日期: 2017年1月

适用于: Dynamics 365 (on-premises),Dynamics CRM 2016

安装 AD FS 后,在启用基于声明的身份验证之前,需要设置 Microsoft Dynamics 365 服务器 绑定类型和根域。

本主题内容

将 Microsoft Dynamics 365 服务器绑定设置为 HTTPS 并配置根域 Web 地址

CRMAppPool 帐户和 Microsoft Dynamics CRM 加密证书

使用“配置基于声明的身份验证向导”配置基于声明的身份验证

使用 Windows PowerShell 配置基于声明的身份验证

设置 ADFSAppPool 帐户的读取权限

将 Microsoft Dynamics 365 服务器绑定设置为 HTTPS 并配置根域 Web 地址

  1. 在 Microsoft Dynamics 365 服务器上,启动 部署管理器。

  2. 在“操作”窗格中,单击“属性”。

  3. 单击“Web 地址”选项卡。

  4. 在“绑定类型”下,选择“HTTPS”。

  5. 确认 Web 地址对绑定到 Microsoft Dynamics 365 网站的 TLS/SSL 证书和 TLS/SSL 端口有效。 由于您配置 Microsoft Dynamics 365 服务器 以将声明身份验证用于内部访问,所以将主机名用于根域 Web 地址。

    例如,对于 *.contoso.com 通配符证书,将 internalcrm.contoso.com 用于 Web 地址。

    如果在单独的服务器上安装 AD FS 和 Microsoft Dynamics 365 服务器,则不要为 Web 应用程序服务器、组织 Web 服务 或 Discovery Web Service 指定端口 443。

    Configure the web address

  6. 单击“确定”。

    警告

    如果 Dynamics 365 for Outlook 客户端是使用旧绑定值配置的,则需要使用新值重新配置这些客户端。

CRMAppPool 帐户和 Microsoft Dynamics CRM 加密证书

AD FS 使用您在 配置基于声明的身份验证向导 中指定的证书对颁发给 Microsoft Dynamics 365 服务器 客户端的安全令牌进行加密。 每个 Microsoft Dynamics 365 Web 应用程序的 CRMAppPool 帐户必须具有加密证书的私钥的读取权限。

  1. 在 Microsoft Dynamics 365 服务器上,使用面向“本地计算机”证书存储的“证书”管理单元控制台创建 Microsoft 管理控制台 (MMC)。

  2. 在控制台树中,展开“证书(本地计算机)”节点,展开“个人”存储,然后单击“证书”。

  3. 在详细信息窗格中,右键单击在配置基于声明的身份验证向导中指定的加密证书,指向“所有任务”,然后单击“管理私钥”。

  4. 单击“添加”(或者如果网络服务帐户是您在设置期间使用的帐户,则使用网络服务帐户),添加 CRMAppPool 帐户,然后授予“读取”权限。

    备注

    您可以使用 IIS 管理器确定设置期间哪个帐户用于 CRMAppPool 帐户。 在“连接”窗格中,单击“应用程序池”,然后检查 CRMAppPool 的标识值。

    IIS Application Pools

  5. 单击“确定”。

使用“配置基于声明的身份验证向导”配置基于声明的身份验证

运行 配置基于声明的身份验证向导 以在 Microsoft Dynamics 365 服务器 上启用声明身份验证。

  1. 在 Microsoft Dynamics 365 服务器上,启动 部署管理器。

  2. 部署管理器控制台树中,右键单击“Microsoft Dynamics 365”,然后单击“配置基于声明的身份验证”。

  3. 查看页面内容,然后单击“下一步”。

  4. 在“指定安全令牌服务”页中,输入联合元数据 URL,例如 https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml。

    此数据通常位于运行 Active Directory 联合服务的网站。 要验证正确的 URL,请打开 Internet 浏览器,查看联合元数据 URL。 确保不会出现与证书相关的警告。

    可能需要在 Internet Explorer 中开启“兼容性视图”。

  5. 单击“下一步”。

  6. 在“指定加密证书”页上,通过以下两种方法之一指定加密证书:

    • 在“证书”框中,键入证书的完全通用名 (CN),格式为 CN=certificate_subject_name。

    • 在“证书”下,单击“选择”,然后选择一个证书。

    AD FS 使用此证书对颁发给 Microsoft Dynamics 365 客户端的身份验证安全令牌进行加密。

    备注

    Microsoft Dynamics 365 服务帐户必须对加密证书的私钥具有读取权限。 有关详细信息,请参阅上面的“CRMAppPool 帐户和 Microsoft Dynamics 365 加密证书”。

  7. 单击“下一步”。

    配置基于声明的身份验证向导会验证所指定的令牌和证书。

  8. 在“系统检查”页上,查看结果,执行解决问题所需的任何步骤,然后单击“下一步”。

  9. 在“查看选定内容,然后单击‘应用’”页上,验证所选内容,然后单击“应用”。

  10. 记下向安全令牌服务添加信赖方时必须使用的 URL。 查看并保存日志文件以供日后参考。

  11. 单击“完成”。

使用 Windows PowerShell 配置基于声明的身份验证

  1. 在 Microsoft Dynamics 365 服务器上,打开 Windows PowerShell 提示。

  2. 添加 Microsoft Dynamics 365Windows PowerShell 管理单元:

    PS > Add-PSSnapin Microsoft.Crm.PowerShell

  3. 获取基于声明的身份验证设置:

    PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"

  4. 配置基于声明的身份验证对象:

    PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL

    其中:

    • 1 = "true"。

    • certificate_name 是加密证书的名称。

    • federation_metadata_URL 是安全令牌服务的联合元数据 URL。 (例如,https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml。)

  5. 设置基于声明的身份验证值:

    PS > Set-CrmSetting $claims

设置 ADFSAppPool 帐户的读取权限

如果您在单独的服务器上安装 AD FS,请验证用于 ADFSAppPool 应用程序池的帐户是否具有“读取”权限。 有关过程步骤,请参阅上面的“CRMAppPool 帐户和 Microsoft Dynamics 365 加密证书”。

另请参阅

实现基于声明的身份验证:内部访问

© 2017 Microsoft。 保留所有权利。 版权

  • Last updated on