IFD 用の AD FS サーバーの構成

 

公開日: 2017年1月

対象: Dynamics 365 (on-premises)、Dynamics CRM 2016

Microsoft Dynamics 365 Server で IFD を有効化した後に、AD FS サーバー の IFD のエンドポイントの証明書利用者を作成する必要があります。

証明書利用者信頼を構成する

1. AD FS フェデレーション サーバーがインストールされる Windows Server を実行するコンピューターで、AD FS 管理コンソールを起動します。

2. ナビゲーション ウィンドウで、信頼関係を展開し、証明書利用者信頼をクリックします。

3. 右の列のアクション メニューで、証明書利用者信頼の追加をクリックします。

4. 証明書利用者信頼の追加ウィザードで、開始をクリックします。

5. データ ソースの選択 ページで、オンラインまたはローカル ネットワークで公開されている証明書利用者についてのデータをインポートするをクリックし、URL を入力して federationmetadata.xml ファイルを見つけます。

   このフェデレーション メタデータは、IFD セットアップ中に作成されます。たとえば、https://auth.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml です。

   ブラウザーにこの URL を入力し、証明書関連の警告が表示されないことを確認します。

6. [次へ] をクリックします。

7. [表示名の指定] ページで、表示名 (Dynamics 365 IFD Relying Partyなど) を入力し、[次へ] をクリックします。

8. 複数要素認証を構成するページで、希望のものを選択し、次へをクリックします。

9. 発行認証ルールを選択する ページで、すべてのユーザーに対してこの証明書利用者へのアクセスを許可するをクリックし、次へをクリックします。

10. 信頼を追加する準備ページの IDタブで、証明書利用者の ID に次のようなの 3つの ID があるかを確認してください。

    • https://auth.contoso.com

    • https://orgname.contoso.com

    • https://dev.contoso.com

    ID が上の例と異なっている場合は、証明書利用者信頼の追加ウィザードで前へをクリックし、フェデレーション メタデータのアドレスを確認します。

11. [次へ] をクリックし、[閉じる] をクリックします。

12. ルール エディターが表示されたら、ルールの追加をクリックします。 それ以外の場合は、証明書利用者信頼 一覧で、作成した証明書利用者オブジェクトを右クリックし、要求規則の編集をクリックし、ルールの追加をクリックします。

    重要

    発行変換ルールタブが選択されていることを確認します。

13. 要求規則テンプレート 一覧で、入力方向の要求をパス スルーまたはフィルター処理テンプレートを選択し、次へをクリックします。

14. 次の規則を作成します。

    • 要求規則名: Pass Through UPN (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 入力方向の要求の種類: UPN

      2. すべての要求値をパス スルーする

15. [完了] をクリックします。

16. ルール エディターで、ルールの追加をクリックし、要求規則テンプレート一覧で、入力方向の要求をパス スルーまたはフィルター処理テンプレートを選択し、次へをクリックします。

    • 要求規則名: Pass Through Primary SID (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 入力方向の要求の種類: プライマリ SID

      2. すべての要求値をパス スルーする

17. [完了] をクリックします。

18. ルール エディターで、ルールの追加をクリックします。

19. 要求規則テンプレート 一覧で、入力方向の要求を変換テンプレートを選択し、次へをクリックします。

20. 次の規則を作成します。

    • 要求規則名: Transform Windows Account Name to Name (または、わかりやすい名前)

    • 次のマッピングを追加します。

      1. 入力方向の要求の種類: Windows アカウント名

      2. 出力方向の要求の種類: 名前

      3. すべての要求値をパス スルーする

21. 完了をクリックし、3 つすべての規則を作成したら、OK をクリックしてルール エディターを閉じます。

Windows Server 2016 の場合は、コマンドレットを実行します。

AD FS サーバーが Windows Server 2016 を実行している場合は、次の Windows PowerShell コマンドレットを実行します。

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

1. ClientRoleIdentifier : Adfsclient の ClientId です。 例: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

2. ServerroleIdentified: 証明書利用者の識別子です。 例: https://adventureworkscycle3.crm.crmifd.com/

詳細については、「Grant-AdfsApplicationPermission」を参照してください。

関連項目

クレームベース認証の実装: 外部アクセス

© 2017 Microsoft. All rights reserved. 著作権