Configure el servidor de AD FS para autenticación basada en notificaciones.

 

Publicado: enero de 2017

Se aplica a: Dynamics 365 (on-premises), Dynamics CRM 2016

Después de habilitar la autenticación basada en notificaciones, el paso siguiente consiste en agregar y configurar el proveedor de notificación y los usuarios de confianza en AD FS.

Configure el proveedor de notificaciones de confianza

Deberá agregar una regla de notificaciones para recuperar el atributo de nombre principal de usuario (UPN) de Active Directory y enviarlo a Microsoft Dynamics 365 como UPN.

Configure AD FS para enviar el atributo UPN LDAP como notificación a un usuario de confianza:

1. En el servidor que ejecuta AD FS, inicie Administración de AD FS.

2. En el Panel de navegación, expanda Relaciones de confianza y, a continuación, haga clic en Proveedor de notificaciones de confianza.

3. En Proveedor de notificaciones de confianza, haga clic con el botón secundario en Active Directory y, a continuación, haga clic en Editar reglas de notificaciones.

4. En el Editor de reglas, haga clic en Agregar regla.

5. En la lista de plantillas de regla de notificación, seleccione la plantilla Send LDAP Attributes as Claims (Enviar atributos LDAP como notificaciones) y haga clic en Siguiente.

6. Cree la siguiente regla:

   • Nombre de regla de notificación: Regla de notificación UPN (o algo descriptivo)

   • Agregue la siguiente asignación:

     1. Almacén de atributo: Active Directory

     2. Atributo LDAP: Nombre de usuario principal

     3. Tipo de notificación saliente: UPN

7. Haga clic en Finalizar y, a continuación, haga clic en Aceptar para cerrar el Editor de reglas.

Configure un usuario de confianza

Después de habilitar autenticación basada en notificaciones, deberá configurar Microsoft Dynamics 365 Server como usuario de confianza para utilizar notificaciones de AD FS para autenticar el acceso a las notificaciones internas.

1. En el servidor que ejecuta AD FS, inicie Administración de AD FS.

2. En el Panel de navegación, expanda Relaciones de confianza y, a continuación, haga clic en Relying Party Trusts (Usuarios de confianza).

3. En el menú Acciones ubicado en la columna derecha, haga clic en Agregar usuario de confianza.

4. En el Add Relying Party Trust Wizard (Asistente para agregar usuario de confianza), haga clic en Start (Iniciar).

5. En la página Seleccionar archivos de origen de datos, haga clic en Importar datos sobre los usuarios de confianza publicados en línea o en una red local y luego escriba la dirección URL para localizar el archivo federationmetadata.xml.

   Estos metadatos de federación se crean durante la configuración de notificaciones. Utilice la dirección URL que se muestra en la última página del Configure el Asistente para autenticación basada en notificaciones (antes de hacer clic en Finalizar), por ejemplo, https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Compruebe que no aparece ninguna advertencia relacionada con el certificado.

6. Haga clic en Siguiente.

7. En la página Especificar nombre para mostrar, escriba el nombre para mostrar, como Usuario de confianza de Dynamics 365 y, a continuación, haga clic en Siguiente.

8. En la página Configure Multi-factor Authentication Now (Configurar ahora autenticación multifactor), realice su selección y haga clic en Siguiente.

9. En la página Choose Issuance Authorization Rules (Elegir reglas de autorización de emisión), haga clic en Permitir a todos los usuarios el acceso a este usuario de confianza y, a continuación, haga clic en Siguiente.

10. En la página Ready to Add Trust (Listo para agregar confianza), en la pestaña Identificadores, compruebe que Relying party identifiers (Identificadores de usuario de confianza) tiene un solo identificador como el siguiente:

    • https://internalcrm.contoso.com

    Si el identificador es distinto del ejemplo anterior, haga clic en Anterior en el Add Relying Party Trust Wizard (Asistente para agregar usuario de confianza) y compruebe la dirección de metadatos de federación.

11. Haga clic en Siguiente y, a continuación, en Cerrar.

12. Si aparece el Editor de reglas, haga clic en Agregar regla. En caso contrario, en la lista , haga clic en Relying Party Trusts (Usuarios de confianza), haga clic con el botón secundario en el usuario de confianza que ha creado, haga clic en Editar reglas de notificaciones y, a continuación, haga clic en Agregar regla.

    Importante

    Asegúrese de que está seleccionada la pestaña Issuance Transform Rules (Reglas de transformación de emisión).

13. En la lista de plantillas de regla de notificación, seleccione la plantilla Pass Through or Filter an Incoming Claim (Atraviese o filtre una notificación entrante) y haga clic en Siguiente.

14. Cree la siguiente regla:

    • Nombre de regla de notificación: Atravesar UPN (o algo descriptivo)

    • Agregue la siguiente asignación:

      1. Tipo de notificación entrante: UPN

      2. Paso a través de todos los valores de notificaciones

15. Haga clic en Finalizar.

16. En el Editor de reglas, haga clic en Agregar regla, en la lista de plantillas de regla de notificación, seleccione la plantilla Pass Through or Filter an Incoming Claim (Atraviese o filtre una notificación entrante) y haga clic en Siguiente.

17. Cree la siguiente regla:

    • Nombre de regla de notificación: Atravesar SID primario (o algo descriptivo)

    • Agregue la siguiente asignación:

      1. Tipo de notificación entrante: SID primario

      2. Paso a través de todos los valores de notificaciones

18. Haga clic en Finalizar.

19. En el Editor de reglas, haga clic en Agregar regla.

20. En la lista de plantillas de regla de notificación, seleccione la plantilla Transformar una notificación entrante y haga clic en Siguiente.

21. Cree la siguiente regla:

    • Nombre de regla de notificación: Transformar nombre de cuenta de Windows en nombre (o algo descriptivo)

    • Agregue la siguiente asignación:

      1. Tipo de notificación entrante: Nombre de cuenta de Windows

      2. Tipo de notificación saliente: Nombre

      3. Paso a través de todos los valores de notificaciones

22. Haga clic en Finalizar y cuando haya creado las tres reglas, haga clic en Aceptar para cerrar el Editor de reglas.

    

    Esta ilustración muestra las tres reglas de usuario de confianza que usted crea.

El usuario de confianza que usted ha creado define cómo el servicio de federación de AD FS reconoce el usuario de confianza de Microsoft Dynamics 365 y emite notificaciones para él.

Habilitar autenticación de formularios

En AD FS en Windows Server 2012 R2, la autenticación de formularios no está habilitada de forma predeterminada.

1. Inicie una sesión en el servidor de AD FS como administrador.

2. Abra la Consola de administración de AD FS y haga clic en Directivas de autenticación.

3. En Directivas de autenticación>, Configuración global, Métodos de autenticación, haga clic en Editar.

4. En Intranet, habilite (active) Autenticación de formularios y luego haga clic en Aceptar.

En Windows Server 2016, ejecute cmdlet

Si el servidor de AD FS está ejecutando Windows Server 2016, ejecute el siguiente Windows PowerShell cmdlet:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

1. ClientRoleIdentifier: el ClientId de Adfsclient. Por ejemplo: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

2. ServerroleIdentified: el identificador del usuario de confianza. Por ejemplo: https://adventureworkscycle3.crm.crmifd.com/

Para obtener más información, consulte Grant-AdfsApplicationPermission.

Ver también

Implementación de autenticación basada en notificaciones: acceso interno

© 2017 Microsoft. Todos los derechos reservados. Copyright