クレームベース認証に AD FS サーバーを構成する

  • [アーティクル]

 

公開日: 2017年1月

対象: Dynamics 365 (on-premises)、Dynamics CRM 2016

クレームベース認証を有効にした後、次のステップは、要求プロバイダーおよび証明書利用者信頼を AD FS に追加および構成することです。

要求プロバイダー信頼を構成する

要求規則を追加して、ユーザー プリンシパル名 (UPN) 属性を、Active Directory から取得して、UPN として Microsoft Dynamics 365 に送信する必要があります。

UPN LDAP 属性を要求として証明書利用者に送信するように AD FS を構成する

  1. AD FS を実行しているサーバーで、AD FS 管理を開始します。

  2. ナビゲーション ウィンドウで、信頼関係を展開し、要求プロバイダー信頼をクリックします。

  3. 要求プロバイダー信頼で、Active Directory を右クリックし、要求規則の編集をクリックします。

  4. ルール エディターで、ルールの追加をクリックします。

  5. [要求規則テンプレート] の一覧で、[要求として LDAP 属性を送信する] テンプレートを選択し、[次へ] をクリックします。

  6. 次の規則を作成します。

    • 要求規則名: UPN 要求規則 (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 属性ストア: Active Directory

      2. LDAP 属性: ユーザー プリンシパル名

      3. 出力方向の要求の種類: UPN

  7. [完了] をクリックし、[OK] をクリックして、ルール エディターを閉じます。

証明書利用者信頼を構成する

クレームベース認証を有効にした後、内部クレーム アクセスの認証に AD FS からのクレームを使用するには、証明書利用者として Microsoft Dynamics 365 Server を構成する必要があります。

  1. AD FS を実行しているサーバーで、AD FS 管理を開始します。

  2. ナビゲーション ウィンドウで、信頼関係を展開し、証明書利用者信頼をクリックします。

  3. 右の列のアクション メニューで、証明書利用者信頼の追加をクリックします。

  4. 証明書利用者信頼の追加ウィザードで、開始をクリックします。

  5. データ ソースの選択 ページで、オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートするをクリックし、URL を入力して federationmetadata.xml ファイルを見つけます。

    フェデレーション メタデータがクレーム セットアップ時に作成されます。クレームベース認証の構成ウィザード の最後のページ (完了をクリックする前) に一覧表示されている URL (たとえば、https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml) を使用します。 証明書関連の警告が表示されないことを確認します。

  6. [次へ] をクリックします。

  7. [表示名の指定] ページで、表示名 (Dynamics 365 クレーム証明書利用者など) を入力し、[次へ] をクリックします。

  8. 複数要素認証を構成するページで、希望のものを選択し、次へをクリックします。

  9. 発行認証ルールを選択する ページで、すべてのユーザーに対してこの証明書利用者へのアクセスを許可するをクリックし、次へをクリックします。

  10. 信頼を追加する準備ページの IDタブで、証明書利用者の ID に次のようなの一意の ID があるかを確認してください。

    ID が上の例と異なっている場合は、証明書利用者信頼の追加ウィザード前へをクリックし、フェデレーション メタデータのアドレスを確認します。

  11. [次へ] をクリックし、[閉じる] をクリックします。

  12. ルール エディターが表示されたら、ルールの追加をクリックします。 それ以外の場合は、証明書利用者信頼 一覧で、作成した証明書利用者オブジェクトを右クリックし、要求規則の編集をクリックし、ルールの追加をクリックします。

    重要

    発行変換ルールタブが選択されていることを確認します。

  13. 要求規則テンプレート 一覧で、入力方向の要求をパス スルーまたはフィルター処理テンプレートを選択し、次へをクリックします。

  14. 次の規則を作成します。

    • 要求規則名: UPN をパス スルーする (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 入力方向の要求の種類: UPN

      2. すべての要求値をパス スルーする

  15. [完了] をクリックします。

  16. ルール エディターで、ルールの追加をクリックし、要求規則テンプレート一覧で、入力方向の要求をパス スルーまたはフィルター処理テンプレートを選択し、次へをクリックします。

  17. 次の規則を作成します。

    • 要求規則名: プライマリ SID をパス スルーする (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 入力方向の要求の種類: プライマリ SID

      2. すべての要求値をパス スルーする

  18. [完了] をクリックします。

  19. ルール エディターで、ルールの追加をクリックします。

  20. 要求規則テンプレート 一覧で、入力方向の要求を変換テンプレートを選択し、次へをクリックします。

  21. 次の規則を作成します。

    • 要求規則名: Windows アカウント名を名前に変換する (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 入力方向の要求の種類: Windows アカウント名

      2. 出力方向の要求の種類: 名前

      3. すべての要求値をパス スルーする

  22. 完了をクリックし、3 つすべての規則を作成したら、OK をクリックしてルール エディターを閉じます。

    Three claims rules

    この図は、作成する 3 つの証明書利用者信頼のルールを示します。

作成した証明書利用者信頼は、AD FS フェデレーション サービスが Microsoft Dynamics 365 証明書利用者を認識し要求を発行する方法を定義します。

フォーム認証の有効化

Windows Server 2012 R2 のAD FS で、フォーム認証が既定では有効になっていません。

  1. AD FS Server に管理者としてログオンします。

  2. AD FS 管理コンソールを開き、認証ポリシーをクリックします。

  3. [プライマリ認証][グローバル設定][認証方法] で、[編集] をクリックします。

  4. イントラネットで、フォーム認証を有効 (ボックスをオン) にし、OK をクリックします。

Enable forms authentication

Windows Server 2016 の場合は、コマンドレットを実行します。

AD FS サーバーが Windows Server 2016 を実行している場合は、次の Windows PowerShell コマンドレットを実行します。

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier : Adfsclient の ClientId です。 例: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: 証明書利用者の識別子です。 例: https://adventureworkscycle3.crm.crmifd.com/

詳細については、「Grant-AdfsApplicationPermission」を参照してください。

関連項目

クレームベース認証の実装: 内部アクセス

© 2017 Microsoft. All rights reserved. 著作権