Multitenant server-naar-server-verificatie gebruiken
Gepubliceerd: januari 2017
Is van toepassing op: Dynamics 365 (online)
Dit is het meest gebruikelijke scenario, dat wordt gebruikt voor apps die worden gedistribueerd via Microsoft AppSource. Het is echter ook mogelijk om multitenant te gebruiken zonder uw app aan te melden bij Microsoft AppSource.
Elke Dynamics 365 (online)-organisatie wordt gekoppeld aan een Azure Active Directory-tenant (Azure AD). Uw webtoepassing of -service wordt geregistreerd bij een eigen Azure AD-tenant.
In dit scenario kan elke Dynamics 365 (online)-tenant de multitenant-toepassing gebruiken, nadat hij de toepassing toestemming heeft gegeven voor toegang tot de gegevens.
In dit onderwerp
Vereisten
Overzicht: uw toepassing ontwikkelen en testen
Een toepassingsgebruiker maken die is gekoppeld aan de geregistreerde toepassing in Dynamics 365.
Uw toepassing testen met uw Dynamics 365-tenant.
Uw toepassing testen met een andere, afzonderlijke Dynamics 365-tenant.
Een methode voorbereiden om de toepassingsgebruiker uit te rollen
Vereisten
Als u een multitenant-toepassing wilt maken en testen die gebruik maakt van server-naar-server-verificatie (S2S), hebt u de volgende zaken nodig:
Een Azure AD-tenant waarmee u uw toepassing of service publiceert.
Twee Dynamics 365 (online)-abonnementen:
Een daarvan moet gekoppeld zijn aan de Azure AD-tenant waarmee u uw toepassing of service publiceert.
De andere kan een proefabonnement zijn, die u gebruikt om te testen hoe een abonnee toegang krijgt tot de toepassing.
Overzicht: uw toepassing ontwikkelen en testen
De toepassing die u maakt, moet worden geregistreerd bij de Azure AD-tenant die u gebruikt om uw toepassing te publiceren.
Op hoog niveau bestaat het proces uit de volgende stappen:
Een multitenant webtoepassing maken, die is geregistreerd bij de Azure AD-tenant.
Een toepassingsgebruiker maken, die is gekoppeld aan de geregistreerde toepassing in Dynamics 365 (online)-tenant.
Een aangepaste beveiligingsrol maken en deze toewijzen aan de toepassingsgebruiker in uw Dynamics 365 (online)-tenant.
Uw toepassing testen met uw Dynamics 365 (online)-tenant.
Uw toepassing testen met een andere, afzonderlijke Dynamics 365 (online)-tenant.
Een volledig voorbeeld van dit proces vindt u in Stapsgewijze handleiding: server-naar-server-verificatie voor één tenant.
Een multitenant webtoepassing maken die is geregistreerd bij de Azure AD-tenant
U maakt een multitenant webtoepassing of -service, die gebruik maakt van Azure AD als verificatieprovider.
Dit onderwerp legt niet uit hoe dat precies in zijn werk gaat. Er zijn meerdere benaderingen mogelijk, waarbij u keuzes kunt maken die aansluiten op uw vereisten of voorkeuren. Meer informatie en voorbeelden vindt u via de volgende koppelingen:
Een multi-tenant SaaS-webtoepassing bouwen met Azure AD & OpenID Connect
Een multi-tenant SaaS-webtoepassing bouwen die een web-API aanroept met Azure AD
Azure AD vereist de volgende waarden om uw toepassing te registreren:
Waarde |
Beschrijving |
|---|---|
URI van toepassings-ID |
De ID van een toepassing. Deze waarde wordt tijdens de verificatie verzonden naar Azure AD, om aan te geven voor welk toepassing de aanroepende partij een een token wil hebben. Daarnaast wordt deze waarde opgenomen in de token, zodat de toepassing weet dat hijzelf doel van de aanvraag is. |
Antwoord-URL en Omleidings-URI |
In het geval van een web-API of webtoepassing is de antwoord-URL de locatie waarnaar Azure AD de verificatierespons zendt, inclusief een token als de verificatie is geslaagd. |
Client-ID |
De ID van een toepassing, die wordt gegenereerd door Azure AD wanneer de toepassing wordt geregistreerd. Wanneer een autorisatiecode of een token wordt aangevraagd, worden de client-ID en de sleutel tijdens de verificatie verzonden naar Azure AD. |
Sleutel |
De sleutel die samen met een client-ID wordt verzonden, wanneer verificatie bij Azure AD wordt uitgevoerd om een web-API aan te roepen. |
Wanneer de toepassing wordt geregistreerd, wordt er een Azure Active Directory Object Id aan toegewezen, een unieke ID voor de geregistreerde toepassing.
Als u een nieuwe ASP.NET MVC-toepassing maakt met Visual Studio 2015, hebt u opties om op te geven dat de toepassing de multitenant-functionaliteit ondersteunt. De sjabloon voor een MVC-toepassing biedt de optie om op te geven welk type verificatie optreedt. U hebt de optie om de verificatiemethode te kiezen, door tijdens het maken van uw project de eigenschappen ervan te configureren. In de onderstaande afbeelding ziet u de beschikbare opties:
.jpeg "ASP.NET MVC Change Authentication Dialog")
Wanneer u een project met deze opties configureert, wordt het geconfigureerd om OWIN-middleware en scaffolding te gebruiken voor een basistoepassing die dit scenario ondersteunt. Met enkele eenvoudige aanpassingen kan dit worden geconfigureerd om te werken met Dynamics 365 (online). Deze benadering wordt gedemonstreerd in Stapsgewijze handleiding: server-naar-server-verificatie voor één tenant.
Bij het maken en registreren van uw toepassing voor ontwikkeling gebruikt u waarschijnlijk https://localhost als waarde voor de Aanmeldings-URL en Antwoord-URL, zodat u de toepassing lokaal kunt testen en op fouten onderzoeken voordat u hem publiceert. Voordat u de app publiceert, moet u deze waarde wijzigen.
Wanneer u de app registreert, moet u een sleutel genereren, ook wel aangeduid als ClientSecret. Deze sleutels kunnen worden geconfigureerd voor een duur van 1 of 2 jaar. Als beheerder van de toepassing moet u deze waarde behandelen als een wachtwoord. U moet er ook voor zorgen dat deze sleutels worden vernieuwd voordat ze verlopen. U kunt hiervoor gebruik maken van Azure Sleutelkluis.Meer informatie:https://azure.microsoft.com/en-us/services/key-vault/
Uw toepassing toegangsrechten tot Dynamics 365 (online)-gegevens verlenen
Dit is de reden waarom uw Dynamics 365 (online)-exemplaar aan uw Azure AD-tenant moet zijn gekoppeld. Als uw Azure AD-tenant niet aan een Dynamics 365 (online)-tenant is gekoppeld, kunt u de onderstaande stappen niet uitvoeren.
Ga naar https://portal.azure.com en selecteer Azure Active Directory.
Klik op App-registraties en zoek de toepassing u hebt aangemaakt in Visual Studio.
U moet uw toepassing rechten geven voor toegang tot Dynamics 365 (online)-gegevens. Klik in het gebied API-toegang op Vereiste machtigingen. U moet hier zien dat de toepassing al machtigingen heeft voor Windows Azure Active Directory.
Klik op Toevoegen en vervolgens op Een API selecteren. Selecteer in de lijst Dynamics 365 en klik op de knop Selecteren.
Selecteer in Machtigingen selecteren de optie Toegang tot Dynamics 365 verkrijgen als organisatiegebruikers. Klik vervolgens op de knop Selecteren.
Klik op Gereed om deze machtigingen toe te voegen. Als u klaar bent, zou u moeten zien dat de bevoegdheden zijn toegepast.
.jpeg "Grant Dynamics 365-Permissions to application")
Een toepassingsgebruiker maken die is gekoppeld aan de geregistreerde toepassing in Dynamics 365.
Als uw toepassing toegang nodig heeft tot de Dynamics 365-gegevens van een van de toepassingsabonnees, moet hij hiervoor gebruik maken van een toepassingsgebruiker in de Dynamics 365-organisatie van de abonnee. Net zoals iedere Dynamics 365-gebruiker, moet deze toepassingsgebruiker zijn gekoppeld aan ten minste één beveiligingsrol die bepaalt tot welke gegevens de gebruiker toegang heeft.
De systemuser-entiteit heeft drie nieuwe kenmerken waarin deze gegevens kunnen worden opgeslagen.
Schemanaam |
weergavenaam |
Type |
Beschrijving |
|---|---|---|---|
ApplicationId |
Toepassings-ID |
UniqueidentifierType |
De ID van de toepassing. Deze wordt gebruikt voor toegang tot gegevens in een andere toepassing. |
ApplicationIdUri |
URI van toepassings-ID |
StringType |
De URI die dient als unieke logische identificatie voor de externe app. Deze kan worden gebruikt om de toepassing te valideren |
AzureActiveDirectoryObjectId |
Object-id van Azure AD |
UniqueidentifierType |
Dit is de object-ID voor de toepassingsmap. |
Deze waarde van eigenschap systemuserAzureActiveDirectoryObjectId moet een verwijzing naar de Azure Active Directory object-ID van uw geregistreerde toepassing zijn. Deze verwijzing wordt ingesteld in Dynamics 365, wanneer de toepassingsgebruiker wordt aangemaakt op basis van de waarde van ApplicationId.
Notitie
In het begin, wanneer u uw toepassing ontwikkelt met uw eigen Dynamics 365-tenant en de daaraan gekoppelde Azure AD-tenant, is het geen probleem om de toepassingsgebruiker te maken. De geregistreerde toepassing maakt immers al deel uit van uw Azure AD-tenant.
Maar als u de toepassingsgebruiker moet maken in een andere organisatie voor de testfase of wanneer een abonnee uw toepassing gebruikt, moeten anderen eerst toestemming geven aan uw toepassing. Dit proces verloopt anders. Zie Uw toepassing testen met een andere, afzonderlijke Dynamics 365-tenant. voor meer informatie.
Een beveiligingsrol maken voor de toepassingsgebruiker
In de volgende stap maakt u een Dynamics 365-toepassingsgebruiker aan. De bevoegdheden en toegangsrechten voor deze gebruiker worden gedefinieerd door een aangepaste beveiligingsrol die u configureert. Voordat u de toepassingsgebruiker maakt, moet u een aangepaste beveiligingsrol maken waaraan u de gebruiker kunt koppelen. Raadpleeg voor meer informatie TechNet: Een beveiligingsrol maken of bewerken.
Notitie
De toepassingsgebruiker kan niet aan een van standaardbeveiligingsrollen van Dynamics 365 worden gekoppeld. U moet een aangepaste beveiligingsrol maken die u aan de toepassingsgebruiker kunt koppelen.
Handmatig een Dynamics 365-toepassingsgebruiker maken
De stappen voor het maken van deze gebruiker zijn anders dan voor het maken van een gebruiker met een licentie. Gebruik de volgende stappen:
Ga naar Instellingen > Beveiliging > Gebruikers.
Selecteer in de vervolgkeuzelijst Toepassingsgebruikers.
Klik op Nieuw. Controleer vervolgens u of het formulier Toepassinggebruiker gebruikt.
Als u niet de velden Toepassings-ID, URI van toepassings-ID en Object-id van Azure AD ziet, selecteer dan in de lijst het formulier Toepassingsgebruiker:
.jpeg "Select Application User Form")
Voer de juiste waarden in in de velden:
Veld
Waarde
Toepassings-ID
De waarde van Toepassings-ID, voor de toepassing die is geregistreerd in Azure AD.
Volledige naam
De naam van uw toepassing.
Primair e-mailadres
Het e-mailadres dat uw abonnees moeten gebruiken om contact met u op te nemen.
De velden Gebruikersnaam, URI van toepassings-ID en Object-id van Azure AD zijn vergrendeld. U kunt geen waarden voor deze velden instellen.
Wanneer u deze gebruiker opslaat, worden de waarden voor deze velden opgehaald bij Azure AD op basis van de waarde voor Toepassings-id.
Koppel de toepassingsgebruiker aan de aangepaste beveiligingsrol die u hebt gemaakt in Een beveiligingsrol maken voor de toepassingsgebruiker. Zie voor meer informatie: TechNet: Een beveiligingsrol aan een gebruiker toewijzen
Uw toepassing testen met uw Dynamics 365-tenant.
Aangezien deze toepassing is geregistreerd bij uw Azure AD-tenant en de toepassingsgebruiker in uw ontwikkelorganisatie al is geconfigureerd, kunt u doorgaan met het ontwikkelen van uw toepassing met uw eigen Dynamics 365-tenant. Maar dit is geen geldige test van de multitenant-functionaliteit. U moet uw toepassing testen met een andere, afzonderlijke Dynamics 365-tenant.
Uw toepassing testen met een andere, afzonderlijke Dynamics 365-tenant.
Voordat u uw toepassing test met een afzonderlijke Dynamics 365-tenant, moet een beheerder van de Azure AD-tenant toestemming verlenen voor de toepassing. De beheerder geeft toestemming door via een webbrowser naar de toepassing te gaan. De eerste keer dat de beheerder zich aanmeldt bij de toepassing, ziet hij een dialoogvenster dat lijkt op het onderstaande:
.jpeg "Grant consent to access Dynamics 365 data")
Als de beheerder toestemming verleent, wordt uw geregistreerde toepassing toegevoegd aan de toepassingslijst in Azure AD Enterprise. De gebruikers van de Azure AD-tenant hebben er vervolgens toegang toe.
Nadat een beheerder toestemming heeft verleend, moet u de toepassingsgebruiker aanmaken in de Dynamics 365-tenant van de abonnee. U kunt de toepassinggebruiker handmatig aanmaken volgens de stappen die worden beschreven in Handmatig een Dynamics 365-toepassingsgebruiker maken.
Voor eerste tests kunt u de stappen handmatig uitvoeren. Wanneer u gereed bent om uw toepassing of service voor abonnees beschikbaar te maken, is het aan te raden om een efficiënter proces in te voeren. Dit onderwerp wordt besproken in de volgende sectie.
Een methode voorbereiden om de toepassingsgebruiker uit te rollen
Nadat abonnees toestemming hebben verleend aan uw toepassing of service, hebt u een eenvoudige en betrouwbare manier nodig waarmee zij de toepassingsgebruiker en andere vereiste onderdelen kunnen toevoegen aan hun Dynamics 365-organisatie.
U moet u een aangepaste beveiligingsrol opnemen, die bepaalt welke bevoegdheden uw toepassing vereist. Vervolgens zorgt u ervoor dat de toepassinggebruiker aan die aangepaste beveiligingsrol wordt gekoppeld. Omdat een aangepaste beveiligingsrol in een oplossing kan worden opgenomen, moet u een beheerde oplossing maken die de definitie van de aangepaste beveiligingsrol bevat, evenals andere oplossingsonderdelen die uw toepassing nodig heeft.
Zie de volgende onderwerpen voor meer informatie over het maken van beveiligingsrollen:
Meer informatie over het maken van een Dynamics 365-oplossing vindt u in de volgende onderwerpen:
De toepassingsgebruiker kan echter niet in een oplossing worden opgenomen, zodat u een manier moeten bieden om deze toepassingsgebruiker te maken en te koppelen aan de aangepaste beveiligingsrol.
Dit kunt u op verschillende manieren realiseren, bijvoorbeeld door een eigen programma te schrijven met de Microsoft Dynamics 365 SDK en de abonnee dit te laten uitvoeren.
De Microsoft Dynamics 365 SDK bevat een toepassing Pakketinstallatie voor CRM, waarmee u een pakket kunt voorbereiden voor het automatiseren van de overdracht van oplossingen en gegevens naar een andere Dynamics 365-organisatie.Meer informatie:Pakketten maken voor het Dynamics 365-hulpprogramma Package Deployer
Zie ook
Stapsgewijze handleiding: server-naar-server-verificatie voor één tenant
Server-naar-server-verificatie voor één tenant gebruiken
Webtoepassingen bouwen met Server-naar-server-verificatie (S2S)
Verbinding maken met Microsoft Dynamics 365
Microsoft Dynamics 365
© 2017 Microsoft. Alle rechten voorbehouden. Auteursrecht