Konfigurieren des AD FS-Servers für die anspruchsbasierte Authentifizierung.

  • Artikel

 

Veröffentlicht: Januar 2017

Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016

Nach der Aktivierung der anspruchsbasierten Authentifizierung ist der nächste Schritt die Hinzufügung und Konfiguration des Anspruchsanbieters und der Vertrauensstellungen der vertrauenden Seite in AD FS.

Konfigurieren der Vertrauensstellung des Anspruchsanbieters

Sie müssen eine Anspruchsregel hinzufügen, um das UPN- (User Principal Name) Attribut von Active Directory abzurufen und an Microsoft Dynamics 365 als UPN zu senden.

Konfigurieren Sie AD FS so, dass das UPN LDAP-Attribut als Anspruch an eine vertrauende Seite gesendet wird.

  1. Starten Sie auf dem Server, auf dem AD FS ausgeführt wird, AD FS-Management.

  2. Erweitern Sie im NavigationsbereichVertrauensstellungen, und klicken Sie anschließend auf Vertrauensstellungen der Anspruchsanbieter.

  3. Klicken Sie unter Vertrauensstellungen der Anspruchsanbieter mit der rechten Maustaste auf Active Directory, und klicken Sie dann auf Anspruchsregeln bearbeiten.

  4. Klicken Sie im Regel-Editor auf Regel hinzufügen.

  5. Wählen Sie in der Liste der Vorlagen für Anspruchsregeln die Vorlage LDAP-Attribute als Ansprüche senden aus, und klicken Sie anschließend auf Weiter.

  6. Erstellen Sie die folgende Regel:

    • Name der Anspruchsregel: UPN-Anspruchsregel (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Attributspeicher: Active Directory

      2. LDAP-Attribut: Benutzerprinzipalname

      3. Typ des ausgehenden Anspruchs: UPN

  7. Klicken Sie auf Fertig stellen und anschließend auf OK, um den Regel-Editor zu schließen.

Konfigurieren der Vertrauensstellung der vertrauenden Seite

Nachdem Sie die anspruchsbasierte Authentifizierung aktiviert haben, müssen Sie Microsoft Dynamics 365 Server als vertrauende Seite konfigurieren, um Ansprüche von AD FS zur Authentifizierung des Zugriffs auf interne Ansprüche verarbeiten zu können.

  1. Starten Sie auf dem Server, auf dem AD FS ausgeführt wird, AD FS-Management.

  2. Erweitern Sie im NavigationsbereichVertrauensstellungen, und klicken Sie anschließend auf Vertrauensstellungen der vertrauenden Seite.

  3. Klicken Sie im Menü Aktionen in der rechten Spalte auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  4. Klicken Sie im Assistenten für das Hinzufügen einer Vertrauensstellung der vertrauenden Seite auf Start.

  5. Klicken Sie auf der Seite Datenquelle auswählen auf Online oder auf einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren, und geben Sie dann die URL für die Datei federationmetadata.xml ein.

    Diese Verbundmetadaten werden während der Einrichtung des Anspruchs erstellt. Verwenden Sie die URL, die auf der letzten Seite des Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren aufgelistet ist (bevor Sie auf Fertig stellen klicken.) , beispielsweise https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml Vergewissern Sie sich, dass keine zertifikatbezogenen Warnungen angezeigt werden.

  6. Klicken Sie auf Weiter.

  7. Geben Sie auf der Seite Anzeigename angeben einen Anzeigenamen ein, zum Beispiel Dynamics 365 Claims Relying Party, und klicken Sie anschließend auf Weiter.

  8. Treffen Sie auf der Seite Jetzt mehrstufige Authentifizierung konfigurieren Ihre Auswahl, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Ausstellungs-Autorisierungsregeln wählen auf EAllen benutzern erlauben, auf diese vertrauende Seite zugreifen und dann auf Weiter.

  10. Prüfen Sie auf der Seite Bereit zum Hinzufügen der Vertrauensstellung auf der Registerkarte Kennungen, ob Kennungen der vertrauenden Seite eine einzelne Kennung wie die folgende hat:

    Wenn Ihre Kennung von obigem Beispiel abweichet klicken Sie im Assistenten für das Hinzufügen einer Vertrauensstellung der vertrauenden Seite auf Zurück, und überprüfen Sie die Verbundmetadatenadresse.

  11. Klicken Sie auf Weiter und anschließend auf Schließen.

  12. Wenn der Regel-Editor angezeigt wird, klicken Sie auf Regel hinzufügen. Klicken Sie andernfalls in der Liste Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf das Objekt der vertrauenden Seite, das Sie erstellt haben, klicken Sie auf Anspruchsregeln bearbeiten und dann auf Regel hinzufügen.

    Wichtig

    Achten Sie darauf, dass die Registerkarte Ausstellungs-Transformationsregeln ausgewählt ist.

  13. Wählen Sie in der Liste der Anspruchsregelnvorlagen die Vorlage Eingehenden Anspruch durchleiten oder filtern, und klicken Sie auf Weiter.

  14. Erstellen Sie die folgende Regel:

    • Name der Anspruchsregel: UPN durchleiten (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Typ des eingehenden Anspruchs: UPN

      2. Alle Anspruchswerte durchleiten

  15. Klicken Sie auf Fertig stellen.

  16. Klicken Sie im Regel-Editor auf Regel hinzufügen, und wählen Sie in der Liste der Anspruchsregelnvorlagen die Vorlage Eingehenden Anspruch durchleiten oder filtern, und klicken Sie dann auf Weiter.

  17. Erstellen Sie die folgende Regel:

    • Name der Anspruchsregel: Primär-SID durchleiten (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Typ des eingehenden Anspruchs: Primär-SID

      2. Alle Anspruchswerte durchleiten

  18. Klicken Sie auf Fertig stellen.

  19. Klicken Sie im Regel-Editor auf Regel hinzufügen.

  20. Wählen Sie in der Liste der Anspruchsregelnvorlagen die Vorlage Eingehenden Anspruch transformieren, und klicken Sie auf Weiter.

  21. Erstellen Sie die folgende Regel:

    • Name der Anspruchsregel: Windows-Kontoname in Name transformieren (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Typ des eingehenden Anspruchs: Windows-Kontoname

      2. Typ des ausgehenden Anspruchs: Name

      3. Alle Anspruchswerte durchleiten

  22. Klicken Sie auf Fertig stellen, und klicken Sie nach der Erstellung aller drei Regeln auf OK, um den Regel-Editor zu schließen.

    Three claims rules

    Diese Abbildung zeigt die drei Regeln für die Vertrauensstellung der vertrauenden Seite an, die Sie erstellen.

Die Vertrauensstellung der vertrauenden Seite, die Sie erstellt haben, definiert wie der AD FS-Verbunddienst die vertrauende Microsoft Dynamics 365-Seite erkennt und Ansprüche dafür ausgibt.

Aktivieren der Formularauthentifizierung

In AD FS in Windows Server 2012 R2 ist die Formularauthentifizierung standardmäßig nicht aktiviert.

  1. Melden Sie sich am AD FS-Server als Administrator an.

  2. Öffnen Sie die AD FS-Verwaltungskonsole, und klicken Sie auf Authentifizierungsrichtlinien.

  3. Klicken Sie unter Primäre Authentifizierung, Globale Einstellungen, Authentifizierungsmethoden auf Bearbeiten.

  4. Aktivieren (markieren) Sie unter Intranet die Option Formularauthentifizierung und klicken Sie auf OK.

Enable forms authentication

Für Windows Server 2016 führen Sie ein "cmdlet" aus

Wenn Ihr AD FS Server Windows Server 2016 ausführt, führen Sie folgendes Windows PowerShell cmdlet aus:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: die ClientId Ihres Adfsclient. Zum Beispiel: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: der Bezeichner der vertrauenden Seite. Zum Beispiel: https://adventureworkscycle3.crm.crmifd.com/

Weitere Informationen finden Sie unter Erteilen von AdfsApplicationPermission.

Siehe auch

Implementierung der anspruchsbasierten Authentifizierung: interner Zugriff

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright