通过

配置基于声明的身份验证

  • 项目

 

发布日期: 2017年1月

适用于: Dynamics 365 (on-premises),Dynamics CRM 2016

基于声明的安全模型将传统身份验证模型扩展为包括包含用户信息的其他目录源。 此联合身份验证允许来自各种源的用户(如 Active Directory 域服务、通过 Internet 的客户或业务合作伙伴)使用 Microsoft Dynamics 365。

重要

Microsoft Dynamics 365面向 Internet 的部署 (IFD) 访问需要基于声明的身份验证。 但是,如果 Microsoft Dynamics 365 部署在所有 Microsoft Dynamics 365 用户所在的同一域中,或者用户位于受信任域中,则 Intranet Microsoft Dynamics 365 访问不需要基于声明的身份验证。

必须提供安全令牌服务 (STS)(如 Active Directory 联合身份验证服务 (AD FS)),然后才能运行配置基于声明的身份验证向导。 有关 Active Directory 联合身份验证服务 (AD FS) 的详细信息,请参阅标识和访问管理

配置基于声明的身份验证

  1. 启动部署管理器。

  2. 将“绑定类型”设置为 HTTPS,如下所示:

    • 在“操作”窗格中,单击“属性”。

    • 单击“Web 地址”选项卡。

    • 在“绑定类型”下,选择“HTTPS”。

    • 单击“确定”。

    重要

    “绑定类型”必须 设置为 HTTPS 才能使用基于声明的身份验证。

    确认 Web 地址对绑定到 Microsoft Dynamics 365 网站的 TLS/SSL 证书和 TLS/SSL 端口有效。

    如果 Dynamics 365 for Outlook 客户端是使用旧绑定值配置的,则需要使用新值重新配置这些客户端。

  3. 通过以下两种方法之一打开配置基于声明的身份验证向导:

    • 在“操作”窗格中,单击“配置基于声明的身份验证”。

    • 在部署管理器控制台树中,右键单击“Microsoft Dynamics 365”,然后单击“配置基于声明的身份验证”。

  4. 单击“下一步”。

  5. 在“指定安全令牌服务”页上,输入“联合元数据 URL”,如 https://adfs.contoso.com/federationmetadata2007-06/federationmetadata.xml。

    此数据通常位于运行 Active Directory 联合身份验证服务 (AD FS) 的网站上。 若要验证 URL 是否正确,请使用该 URL 打开 Internet 浏览器以查看联合元数据。 确保不会出现与证书相关的警告。

  6. 单击“下一步”。

  7. 在“指定加密证书”页上,通过以下两种方法之一指定加密证书:

    • 在“证书”框中,键入证书的名称。 使用格式 CN=certificate_subject_name 键入证书的完整公用名 (CN)。

    • 在“证书”下,单击“选择”,然后选择一个证书。

    此证书用于对发送到 Active Directory 联合身份验证服务 (AD FS) 安全令牌服务 (STS) 的身份验证安全令牌进行加密。

    备注

    Microsoft Dynamics 365 服务帐户必须对加密证书的私钥具有读取权限。 请参阅以下部分 CRMAppPool 帐户和 Microsoft Dynamics CRM 加密证书。

  8. 单击“下一步”。

    配置基于声明的身份验证向导 会验证您指定的令牌和证书。

  9. 在“系统检查”页上,查看结果,解决任何问题,然后单击“下一步”。

  10. 在“查看选定内容,然后单击‘应用’”页上,验证所选内容,然后单击“应用”。

  11. 记下向安全令牌服务添加信赖方时必须使用的 URL。 查看并保存日志文件以供日后参考。

  12. 记下该页上的信息,然后单击“完成”。

  13. 为基于声明的身份验证配置信赖方。

    重要

    在 STS 中创建信赖方之前,基于声明的身份验证将不起作用。 有关详细信息,请参阅配置 AD FS 服务器以使用基于声明的身份验证

CRMAppPool 帐户和 Microsoft Dynamics CRM 加密证书

从 Microsoft Dynamics 365 发送到 Active Directory 联合身份验证服务 (AD FS) 的声明数据使用您在配置基于声明的身份验证向导中指定的证书进行加密。 每个 Microsoft Dynamics 365 Web 应用程序的 CRMAppPool 必须对加密证书的私钥具有读取权限。

  1. 在 Microsoft Dynamics 365 服务器 上,使用“证书”管理单元控制台创建一个面向“本地计算机”证书存储的 Microsoft 管理控制台 (MMC)。

  2. 在控制台树中,展开“证书(本地计算机)”节点,展开“个人”存储,然后单击“证书”。

  3. 在详细信息窗格中,右键单击在配置基于声明的身份验证向导中指定的加密证书,指向“所有任务”,然后单击“管理私钥”。

  4. 单击“添加”(或者如果在安装过程中使用了网络服务帐户,则选择该帐户),添加“CRMAppPool”帐户,然后授予“读取”权限。

    提示

    您可以使用 IIS 管理器确定设置期间哪个帐户用于 CRMAppPool 帐户。 在“连接”窗格中,单击“应用程序池”,然后检查 CRMAppPool 的“标识”值。

  5. 单击“确定”。

另请参阅

禁用基于声明的身份验证
配置面向 Internet 的部署

© 2017 Microsoft。 保留所有权利。 版权