Configurare il server AD FS per IFD

 

Data di pubblicazione: gennaio 2017

Si applica a: Dynamics 365 (on-premises), Dynamics CRM 2016

Dopo aver abilitato IFD sul Server Microsoft Dynamics 365 è necessario creare una relying party per l'endpoint IFD sul server AD FS.

Configurare trust della relying party.

1. Nel computer che esegue Windows Server in cui è installato il server federativo di AD FS avviare Gestione AD FS.

2. Nel riquadro di spostamento espandere Relazioni di trust, quindi fare clic su Attendibilità componente.

3. Nel menu Azioni disponibile nella colonna di destra fare clic su Aggiungi attendibilità componente.

4. Nell'Aggiunta guidata attendibilità componente fare clic su Avvia.

5. Nella pagina Seleziona origine dati fare clic su Importa dati sul componente pubblicati online o in una rete locale e quindi digitare l'URL per individuare il file federationmetadata.xml.

   Questi metadati di federazione vengono creati durante l'installazione di IFD, ad esempio, https://auth.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml.

   Digitare questo URL nel browser e verificare che non vengano visualizzati avvisi relativi ai certificati.

6. Fare clic su Avanti.

7. Nella pagina Specifica nome visualizzato digitare un nome visualizzato, ad esempio Dynamics 365 IFD Relying Party, e quindi fare clic su Avanti.

8. Nella pagina Configura ora autenticazione a più fattori effettuare le selezioni desiderate e fare clic su Avanti.

9. Nella pagina Scegli regole di autorizzazione rilascio fare clic su Consenti a tutti gli utenti l'accesso a questo componente e quindi fare clic su Avanti.

10. Nella pagina Aggiunta attendibilità, nella scheda Identificatori, verificare che in Identificatori relying party siano presenti tre identificatori come i seguenti:

    • https://auth.contoso.com

    • https://orgname.contoso.com

    • https://dev.contoso.com

    Se gli identificatori sono diversi dall'esempio seguente, fare clic su Indietro nell'Aggiunta guidata attendibilità componente e selezionare l'indirizzo dei metadati di federazione.

11. Fare clic su Avanti e quindi su Chiudi.

12. Se viene visualizzato l'Editor regole attestazione, fare clic su Aggiungi regola. In caso contrario, nell'elenco Attendibilità componente fare clic con il pulsante destro del mouse sull'oggetto relying party creato, fare clic su Modifica regole attestazione e quindi fare clic su Aggiungi regola.

    Importante

    Assicurarsi che la scheda Regole di trasformazione rilascio sia selezionata.

13. Nell'elenco Modello di regola attestazione selezionare il modello Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso e quindi fare clic su Avanti:

14. Creare la regola seguente:

    • Nome regola attestazione: Pass Through UPN (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Tipo di attestazione in ingresso: UPN

      2. Pass-through di tutti i valori attestazione

15. Fare clic su Fine.

16. Nell'Editor regole attestazione fare clic su Aggiungi regola e nell'elenco Modello di regola attestazione selezionare il modello Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso e quindi fare clic su Avanti.

    • Nome regola attestazione: Pass Through Primary SID (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Tipo di attestazione in ingresso: SID primario

      2. Pass-through di tutti i valori attestazione

17. Fare clic su Fine.

18. Nell'Editor regole attestazione fare clic su Aggiungi regola,

19. Nell'elenco Modello di regola attestazione selezionare il modello Trasformare un'attestazione in ingresso e quindi fare clic su Avanti:

20. Creare la regola seguente:

    • Nome regola attestazione: Transform Windows Account Name to Name (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Tipo di attestazione in ingresso: Nome account Windows

      2. Tipo di attestazione in uscita: Nome

      3. Pass-through di tutti i valori attestazione

21. Fare clic su Fine e, dopo aver creato tutte e tre le regole, fare clic su OK per chiudere l'Editor regole di attestazione.

Per Windows Server 2016, esegui un cmdlet

Se il server AD FS esegue Windows Server 2016, esegui il seguente cmdlet di Windows Powershell:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

1. ClientRoleIdentifier: il ClientId di Adfsclient. Ad esempio: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

2. ServerroleIdentified: l'identificatore della relying party. Ad esempio: https://adventureworkscycle3.crm.crmifd.com/

Per ulteriori informazioni, vedi Grant-AdfsApplicationPermission.

Vedere anche

Implementare l'autenticazione basata sulle attestazioni: accesso esterno

© 2017 Microsoft. Tutti i diritti sono riservati. Copyright