Поделиться через


Сбои аутентификации происходят с клиентом Microsoft Dynamics CRM 2015 для Outlook.

Эта статья поможет устранить проблему, возникающую при отключенной конечной точке WindowsTransport на сервере AD FS.

Применимо к: Microsoft Dynamics CRM Online, Microsoft Dynamics CRM 2015
Исходный номер Базы знаний: 3070297

Симптомы

Бесшумная встроенная аутентификация с федеративными организациями Dynamics CRM Online 2015 может завершиться неудачей со следующим сообщением об ошибке:

Исключение при входе Microsoft.Crm.CrmException: integrated_authentication_failed: ошибка интегрированной аутентификации. Вы можете попробовать альтернативный метод проверки подлинности ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: integrated_authentication_failed: сбой встроенной проверки подлинности. Вы можете попробовать альтернативный метод проверки подлинности --- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: wstrust_endpoint_not_found> : конечная точка WS-Trust не найдена в документе метаданных

Причина

Это происходит, если конечная точка WindowsTransport не включена на сервере AD FS.

Решение

На сервере AD FS:

  1. Откройте консоль управления AD FS и в области навигации слева перейдите к AD FS |Служба |Конечные точки.
  2. Найдите конечную точку под названием /adfs/service/trust/13/windowstransport.
  3. Щелкните правой кнопкой мыши и включите.
  4. Перезапуск службы AD FS

При использовании версий до CRM 2015 с обновлением 1.1 используйте URL-адрес прямой организации, например <yourorg>.crm.dynamics.com вместо универсального параметра CRM Online в раскрывающемся списке конфигурации, в противном случае конфигурация может завершиться ошибкой.

Дополнительная информация

Возможность выполнения тихой интегрированной проверки подлинности с федеративными организациями Dynamics CRM была удалена с выходом обновления 1 Microsoft Dynamics CRM 2015. Не устанавливайте это обновление, если вы хотите использовать встроенную проверку подлинности. Эта функция была добавлена в выпуск CRM 2015 с обновлением 1.1.

Помимо ошибки, зарегистрированной в Crm70ClientConfig.log, следующая ошибка регистрируется в средстве просмотра событий на сервере AD FS в разделе Applications and Services Logs\AD FS\Admin:

Encountered error during federation passive request.

Additional Data

Protocol Name:

wsfed

Relying Party:

urn:federation:MicrosoftOnline

Exception details:

Microsoft.IdentityServer.Service.Policy.PolicyServer.Engine.InvalidAuthenticationTypePolicyException: MSIS7102: Requested Authentication Method is not supported on the STS.

at Microsoft.IdentityServer.Web.Authentication.GlobalAuthenticationPolicyEvaluator.EvaluatePolicy(IList`1 mappedRequestedAuthMethods, AccessLocation location, ProtocolContext context, HashSet`1 authMethodsInToken, Boolean& validAuthMethodsInToken)

at Microsoft.IdentityServer.Web.Authentication.AuthenticationPolicyEvaluator.RetrieveFirstStageAuthenticationDomain(Boolean& validAuthMethodsInToken)

at Microsoft.IdentityServer.Web.Authentication.AuthenticationPolicyEvaluator.EvaluatePolicy(Boolean& isLastStage, AuthenticationStage& currentStage, Boolean& strongAuthRequried)

at Microsoft.IdentityServer.Web.PassiveProtocolListener.GetAuthMethodsFromAuthPolicyRules(PassiveProtocolHandler protocolHandler, ProtocolContext protocolContext)

at Microsoft.IdentityServer.Web.PassiveProtocolListener.GetAuthenticationMethods(PassiveProtocolHandler protocolHandler, ProtocolContext protocolContext)

at Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)