Compartilhar via

Configurar o servidor AD FS para IFD

  • Artigo

 

Publicado: janeiro de 2017

Aplicável a: Dynamics 365 (on-premises), Dynamics CRM 2016

Depois que você tiver habilitado a IFD no Servidor do Microsoft Dynamics 365, você precisará criar uma terceira parte confiável do ponto de extremidade da IFD no servidor do AD FS.

Configurar terceiras partes confiáveis

  1. No computador executando o Windows Server em que o servidor de federação do AD FS está instalado, inicie o Gerenciamento do AD FS.

  2. No Painel de Navegação, expanda Relações de Confiança e clique em Confianças de Terceira Parte Confiável.

  3. No menu Ações localizado na coluna à direita, clique em Adicionar Confiança de Terceira Parte Confiável.

  4. No Assistente Adicionar Terceira Parte Confiável, clique em Iniciar.

  5. Na página Selecionar Fonte de Dados, clique em Importar dados de uma parte confiável publicada online ou em uma rede local e digite a URL para localizar o arquivo federationmetadata.xml.

    Este metadados de federação é criado durante a Configuração IFD, por exemplo, https://auth.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml.

    Digite a URL no navegador e verifique se não aparece nenhum aviso relacionado ao certificado.

  6. Clique em Avançar.

  7. Na página Especificar o Nome de Exibição, digite um nome de exibição, como Dynamics 365 IFD Relying Party e clique em Avançar.

  8. Na página Configurar Autenticação Multifator Agora, faça sua seleção e clique em Avançar.

  9. Na página Escolher Regras de Autorização de Emissão, clique em Permitir que todos os usuários acessem essa terceira parte confiável e clique em Avançar.

  10. Na página Pronto para Adicionar Confiança, na guia Identificadores, verifique se Identificadores de Parte Confiável tem três identificadores como o seguinte:

    Se os identificadores são diferentes do exemplo acima, clique em Anterior em Assistente Adicionar Terceira Parte Confiável e verifique o endereço dos metadados da Federação.

  11. Clique em Avançar e em Fechar.

  12. Se o Editor de Regras aparecer, clique em Adicionar Regra. Caso contrário, na lista Confiança de Terceiros, clique com o botão direito no objeto da parte confiável que você criou, clique em Editar Regras de Declarações e em Adicionar Regra.

    Importante

    Verifique se a guia Regras de Transformação de Emissão está selecionada.

  13. Na lista Modelo da Regra de Declaração, selecione o modelo Passar ou Filtrar uma Declaração em Entrada e clique em Avançar.

  14. Crie a seguinte regra:

    • Nome da regra de declaração: Pass Through UPN (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Tipo de declaração de entrada: UPN

      2. Passagem de todos os valores de declaração

  15. Clique em Concluir.

  16. No Editor de Regras, clique em Adicionar Regra e, na lista Modelo da Regra de Declaração, selecione o modelo Passar ou Filtrar uma Declaração em Entrada e clique em Avançar.

    • Nome da regra de declaração: Pass Through Primary SID (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Tipo de declaração de entrada: SID Primário

      2. Passagem de todos os valores de declaração

  17. Clique em Concluir.

  18. No Editor de Regras, clique em Adicionar Regra.

  19. Na lista Modelo da Regra de Declaração, selecione o modelo Transformar uma Declaração em Entrada e clique em Avançar.

  20. Crie a seguinte regra:

    • Nome da regra de declaração: Transform Windows Account Name to Name (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Tipo de declaração de entrada: Nome da Conta do Windows

      2. Tipo de declaração de saída: Nome

      3. Passagem de todos os valores de declaração

  21. Clique em Concluir e, ao terminar de criar todas as três regras, clique em OK para fechar o Editor de Regras.

No Windows Server 2016, execute um cmdlet

Se o servidor do AD FS estiver sendo executado no Windows Server 2016, execute o seguinte cmdlet do Windows PowerShell:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: o ClientId do Adfsclient. Por exemplo: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: o identificador da parte confiável. Por exemplo: https://adventureworkscycle3.crm.crmifd.com/

Para obter mais informações, consulte Grant-AdfsApplicationPermission.

Confira Também

Implementar autenticação baseada em declarações: acesso externo

© 2017 Microsoft. Todos os direitos reservados. Direitos autorais