Configuración del servidor de AD FS para IFD

 

Publicado: enero de 2017

Se aplica a: Dynamics 365 (on-premises), Dynamics CRM 2016

Después de habilitar IFD en Microsoft Dynamics 365 Server deberá crear un usuario de confianza para el extremo de IFD en el servidor de AD FS.

Configure los usuarios de confianza

1. En el equipo que ejecuta Windows Server donde está instalado el servidor de federación AD FS, inicie el Administrador AD FS.

2. En el Panel de navegación, expanda Relaciones de confianza y, a continuación, haga clic en Relying Party Trusts (Usuarios de confianza).

3. En el menú Acciones ubicado en la columna derecha, haga clic en Agregar usuario de confianza.

4. En el Add Relying Party Trust Wizard (Asistente para agregar usuario de confianza), haga clic en Start (Iniciar).

5. En la página Seleccionar archivos de origen de datos, haga clic en Importar datos sobre los usuarios de confianza publicados en línea o en una red local y luego escriba la dirección URL para localizar el archivo federationmetadata.xml.

   Estos metadatos de federación se crean durante la configuración de IFD, por ejemplo, https://auth.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml.

   Escriba esta dirección URL en el explorador y compruebe que no aparecen advertencias relacionadas con certificados.

6. Haga clic en Siguiente.

7. En la página Specify Display Name (Especificar nombre para mostrar), escriba el nombre para mostrar, como Dynamics 365 IFD Relying Party y haga clic en Siguiente.

8. En la página Configure Multi-factor Authentication Now (Configurar ahora autenticación multifactor), realice su selección y haga clic en Siguiente.

9. En la página Choose Issuance Authorization Rules (Elegir reglas de autorización de emisión), haga clic en Permitir a todos los usuarios el acceso a este usuario de confianza y, a continuación, haga clic en Siguiente.

10. En la página Ready to Add Trust (Listo para agregar confianza), en la pestaña Identificadores, compruebe que Relying party identifiers (Identificadores de usuario de confianza) tiene tres identificadores como los siguientes:

    • https://auth.contoso.com

    • https://orgname.contoso.com

    • https://dev.contoso.com

    Si los identificadores son distintos de los del ejemplo anterior, haga clic en Anterior en el Add Relying Party Trust Wizard (Asistente para agregar usuario de confianza) y compruebe la dirección de metadatos de federación.

11. Haga clic en Siguiente y, a continuación, en Cerrar.

12. Si aparece el Editor de reglas, haga clic en Agregar regla. En caso contrario, en la lista , haga clic en Relying Party Trusts (Usuarios de confianza), haga clic con el botón secundario en el usuario de confianza que ha creado, haga clic en Editar reglas de notificaciones y, a continuación, haga clic en Agregar regla.

    Importante

    Asegúrese de que está seleccionada la pestaña Issuance Transform Rules (Reglas de transformación de emisión).

13. En la lista de plantillas de regla de notificación, seleccione la plantilla Pass Through or Filter an Incoming Claim (Atraviese o filtre una notificación entrante) y haga clic en Siguiente.

14. Cree la siguiente regla:

    • Nombre de regla de notificación: Pass Through UPN (o algo descriptivo)

    • Agregue la siguiente asignación:

      1. Tipo de notificación entrante: UPN

      2. Paso a través de todos los valores de notificaciones

15. Haga clic en Finalizar.

16. En el Editor de reglas, haga clic en Agregar regla y en la lista de plantillas de regla de notificación, seleccione la plantilla Pass Through or Filter an Incoming Claim (Atraviese o filtre una notificación entrante) y haga clic en Siguiente.

    • Nombre de regla de notificación: Pass Through Primary SID (o algo descriptivo)

    • Agregue la siguiente asignación:

      1. Tipo de notificación entrante: SID primario

      2. Paso a través de todos los valores de notificaciones

17. Haga clic en Finalizar.

18. En el Editor de reglas, haga clic en Agregar regla.

19. En la lista de plantillas de regla de notificación, seleccione la plantilla Transformar una notificación entrante y haga clic en Siguiente.

20. Cree la siguiente regla:

    • Nombre de regla de notificación: Transform Windows Account Name to Name (o algo descriptivo)

    • Agregue la siguiente asignación:

      1. Tipo de notificación entrante: Nombre de cuenta de Windows

      2. Tipo de notificación saliente: Nombre

      3. Paso a través de todos los valores de notificaciones

21. Haga clic en Finalizar y cuando haya creado las tres reglas, haga clic en Aceptar para cerrar el Editor de reglas.

En Windows Server 2016, ejecute cmdlet

Si el servidor de AD FS está ejecutando Windows Server 2016, ejecute el siguiente Windows PowerShell cmdlet:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

1. ClientRoleIdentifier: el ClientId de Adfsclient. Por ejemplo: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

2. ServerroleIdentified: el identificador del usuario de confianza. Por ejemplo: https://adventureworkscycle3.crm.crmifd.com/

Para obtener más información, consulte Grant-AdfsApplicationPermission.

Ver también

Implementación de autenticación basada en notificaciones: acceso externo

© 2017 Microsoft. Todos los derechos reservados. Copyright