Configuration du serveur AD FS pour l'authentification basée sur les revendications

  • Article

 

Date de publication : janvier 2017

S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016

Après activation de l'authentification basée sur les revendications, l'étape suivante consiste à ajouter et configurer le fournisseur de revendications et les approbations de partie de confiance dans AD FS.

Configuration de l'approbation du fournisseur de revendications

Vous devez ajouter une règle de revendication pour récupérer l'attribut de nom d'utilisateur principal (UPN) de Active Directory et l'envoyer à Microsoft Dynamics 365 comme UPN.

Configuration d'AD FS pour envoyer l’attribut UPN LDAP en tant que revendication à une partie de confiance

  1. Sur le serveur qui exécute AD FS, démarrez AD FS Management.

  2. Dans le Volet de navigation, développez Relations d'approbation, puis cliquez sur Approbations du fournisseur de revendications.

  3. Sous Approbations du fournisseur de revendications, cliquez avec le bouton droit sur Active Directory, puis cliquez sur Modifier les règles de revendications.

  4. Dans l'éditeur de règles, cliquez sur Ajouter une règle.

  5. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.

  6. Créez la règle suivante :

    • Nom de la règle de revendication : Règle de revendication UPN (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Magasin d’attributs : Active Directory

      2. Attribut LDAP : Nom principal de service

      3. Type de revendication sortante : UPN

  7. Cliquez sur Terminer, puis sur OK pour fermer l'éditeur de règles.

Configuration d'une approbation de partie de confiance

Après avoir activé l'authentification basée sur les revendications, vous devez configurer Microsoft Dynamics 365 Server en tant que partie de confiance pour consommer les revendications AD FS pour authentifier l'accès interne des revendications.

  1. Sur le serveur qui exécute AD FS, démarrez AD FS Management.

  2. Dans le Volet de navigation, développez Relations d'approbation, puis cliquez sur Approbations des parties de confiance.

  3. Dans le menu Actions situé dans la colonne de droite, cliquez sur Ajouter l’approbation d’une partie de confiance.

  4. Dans l’Assistant Ajouter l’approbation d’une partie de confiance, cliquez sur Démarrer.

  5. Dans la page Sélectionner la source de données, cliquez sur Importez les données sur la partie de confiance possèdent en ligne ou sur un réseau local, puis tapez l'URL permettant de localiser le fichier federationmetadata.xml.

    Ces métadonnées de fédération sont créées pendant l'installation des revendications. Utilisez l'URL répertoriée dans la dernière page de l'Configuration de l'Assistant Authentification basée sur les revendications (avant de cliquer sur Terminer), par exemple, https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Vérifiez qu'aucun avertissement concernant le certificat n'apparaît.

  6. Cliquez sur Suivant.

  7. Dans la page Spécifier le nom complet, tapez un nom complet, tel que Partie de confiance des revendications Dynamics 365, puis cliquez sur Suivant.

  8. Dans la page Configurer l'authentification à plusieurs facteurs maintenant, faites votre sélection et cliquez sur Suivant.

  9. Dans la page Choisir les règles de délivrance des autorisations, cliquez sur Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis cliquez sur Suivant.

  10. Dans la page Prêt à ajouter l’approbation, sous l'onglet Identificateurs, vérifiez que l'option Identificateurs de partie de confiance a un identificateur unique, comme :

    Si votre identificateur est différent de l'exemple ci-dessus, cliquez sur Précédent dans Assistant Ajouter l’approbation d’une partie de confiance et activez l'adresse des métadonnées de fédération.

  11. Cliquez sur Suivant, puis sur Fermer.

  12. Si l'éditeur de règles apparaît, cliquez sur Ajouter une règle. Sinon, dans la liste Approbations des parties de confiance, cliquez avec le bouton droit sur l’objet de partie de confiance créé, sur Modifier les règles de revendications, puis sur Ajouter une règle.

    Important

    Assurez-vous que l'onglet Règles de transformation d'émission est sélectionné.

  13. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer ou filtrer une revendication entrante et puis cliquez sur Suivant :

  14. Créez la règle suivante :

    • Nom de la règle de revendication : Transférer toutes les revendications UPN (ou une autre description)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrante : UPN

      2. Transférer toutes les valeurs des revendications

  15. Cliquez sur Terminer.

  16. Dans l'Éditeur de règles, cliquez sur Ajouter une règle, dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer ou filtrer une revendication entrante, puis cliquez sur Suivant.

  17. Créez la règle suivante :

    • Nom de la règle de revendication : Transférer les SID principaux (ou une autre description)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrante : SID principal

      2. Transférer toutes les valeurs des revendications

  18. Cliquez sur Terminer.

  19. Dans l'éditeur de règles, cliquez sur Ajouter une règle.

  20. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer une revendication entrante et puis cliquez sur Suivant :

  21. Créez la règle suivante :

    • Nom de la règle de revendication : Transformer le Nom du compte Windows en Nom (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrant : Nom du compte Windows

      2. Type de revendication sortante : Nom

      3. Transférer toutes les valeurs des revendications

  22. Cliquez sur Terminer, puis lorsque vous avez créé les trois règles, cliquez sur OK pour fermer l’Éditeur de règles.

    Three claims rules

    Cette figure illustre les trois règles d'approbation de partie de confiance que vous créez.

L'approbation de partie de confiance créée définit la façon dont AD FS Federation Service reconnaît la partie de confiance Microsoft Dynamics 365 et émet des revendications.

Activation de l'authentification par formulaire

Dans AD FS in Windows Server 2012 R2, l'authentification par formulaire n'est pas activée par défaut.

  1. Connectez-vous au serveur AD FS en tant qu'administrateur.

  2. Ouvrez la console de gestion AD FS et cliquez sur Stratégies d'authentification.

  3. Sous Authentification principale, Paramètres globaux, Méthode d’authentification, cliquez sur Modifier.

  4. Sous Intranet, activez Authentification par formulaire, puis cliquez sur OK.

Enable forms authentication

Pour Windows Server 2016, exécutez une applet de commande

Si votre serveur AD FS exécute Windows Server 2016, exécutez l'applet de commande Windows PowerShell suivante :

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier : ID client de votre client Adfs. Par exemple : e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified : identificateur de votre partie de confiance. Par exemple : https://adventureworkscycle3.crm.crmifd.com/

Pour plus d'informations, voir Grant-AdfsApplicationPermission.

Voir aussi

Implémentation de l'authentification basée sur les revendications : accès interne

© 2017 Microsoft. Tous droits réservés. Copyright