通过

配置 AD FS 服务器以进行基于声明的身份验证

  • 项目

 

发布日期: 2017年1月

适用于: Dynamics 365 (on-premises),Dynamics CRM 2016

启用基于声明的身份验证后,下一步是在 AD FS 中添加和配置声明提供程序和信赖方信任。

配置声明提供程序信任

您需要添加声明规则,以从 Active Directory 检索用户主体名称 (UPN) 属性并将其作为 UPN 发送到 Microsoft Dynamics 365。

将 AD FS 以便将 UPN LDAP 属性作为声明发送到信赖方

  1. 在运行 AD FS 的服务器上,启动 AD FS 管理。

  2. 在“导航窗格”中,展开“信任关系”,然后单击“声明提供程序信任”。

  3. 在“声明提供程序信任”下,右键单击 Active Directory,然后单击“编辑声明规则”。

  4. 在规则编辑器中,单击“添加规则”。

  5. 在“声明规则模板”列表中,选择“将 LDAP 属性作为声明发送”模板,然后单击“下一步”。

  6. 创建以下规则:

    • 声明规则名称:UPN 声明规则(或描述性文本)

    • 添加以下映射:

      1. 属性存储:Active Directory

      2. LDAP 属性:用户主体名称

      3. 传出声明类型:UPN

  7. 单击“完成”,然后单击“确定”关闭规则编辑器。

配置信赖方信任

启用基于声明的身份验证后,必须将 Microsoft Dynamics 365 服务器 配置为信赖方,才能使用来自 AD FS 的声明对内部声明访问进行身份验证。

  1. 在运行 AD FS 的服务器上,启动 AD FS 管理。

  2. 在“导航窗格”中,展开“信任关系”,然后单击“信赖方信任”。

  3. 在右侧栏中的“操作”菜单上,单击“添加信赖方信任”。

  4. 在“添加信赖方信任向导”中,单击“开始”。

  5. 在“选择数据源”页上,单击“导入有关以联机方式或在本地网络上发布的信赖方的数据”,然后键入 URL 以查找 federationmetadata.xml 文件。

    此联合元数据是在声明设置期间创建的。 (在单击“完成”之前)使用 配置基于声明的身份验证向导 最后一页上列出的 URL,例如 https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml。 确保不会出现与证书相关的警告。

  6. 单击“下一步”。

  7. 在“指定显示名称”页面上,键入显示名称,例如“Dynamics 365 声明信赖方”,然后单击“下一步”。

  8. 在“立即配置多因素身份验证” 页上,进行选择,然后单击“下一步”。

  9. 在“选择颁发授权规则”页上,单击“允许所有用户访问此信赖方”,然后单击“下一步”。

  10. 在“准备添加信任”页上的“标识符”选项卡上,验证“信赖方标识符”是否具有单一标识符,例如:

    如果标识符与上例不同,请在“添加信赖方信任向导”中单击“上一步”,并检查联合元数据地址。

  11. 单击“下一步”,然后单击“关闭”。

  12. 在出现的“规则编辑器”中,单击“添加规则”。 否则,在“信赖方信任”列表中,右键单击您创建的信赖方对象,单击“编辑声明规则”,然后单击“添加规则”。

    重要

    确保选择“发布转换规则”选项卡。

  13. 在“声明规则模板”列表中,选择“传递或筛选传入声明”模板,单击“下一步”。

  14. 创建以下规则:

    • 声明规则名称:传递 UPN(或描述性内容)

    • 添加以下映射:

      1. 传入声明类型:UPN

      2. 传递所有声明值

  15. 单击“完成”。

  16. 在“规则编辑器”中,单击“添加规则”,在“声明规则模板”列表中,选择“传递或筛选传入声明”模板,然后单击“下一步”。

  17. 创建以下规则:

    • 声明规则名称:传递主 SID(或描述性内容)

    • 添加以下映射:

      1. 传入声明类型:主 SID

      2. 传递所有声明值

  18. 单击“完成”。

  19. 在“规则编辑器”中,单击“添加规则”。

  20. 在“声明规则模板”列表中,选择“转换传入声明”模板,然后单击“下一步”。

  21. 创建以下规则:

    • 声明规则名称:将 Windows 帐户名称转换为名称(或描述性文本)

    • 添加以下映射:

      1. 传入声明类型:Windows 帐户名

      2. 传出声明类型:名称

      3. 传递所有声明值

  22. 单击“完成”,当您创建所有三个规则时,单击“确定”关闭规则编辑器。

    Three claims rules

    此图显示您创建的三个信赖方信任规则。

您创建的信赖方信任定义 AD FS 联合身份验证服务识别 Microsoft Dynamics 365 信赖方并向其发送声明的方式。

启用窗体身份验证

在 Windows Server 2012 R2 中的 AD FS 中,默认情况下不启用窗体身份验证。

  1. 以管理员身份登录到 AD FS 服务器。

  2. 打开 AD FS 管理控制台,单击“身份验证策略”。

  3. 在“主身份验证”、“全局设置”、“身份验证方法”下,单击“编辑”。

  4. 在“Intranet”下,启用(选择)“窗体身份验证”,然后单击“确定”。

Enable forms authentication

对于 Windows Server 2016,请运行 cmdlet

如果您的 AD FS 服务器正在运行 Windows Server 2016,请运行以下 Windows PowerShell cmdlet:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier:您的 Adfsclient 的 ClientId。 例如:e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified:您的信赖方的标识符。 例如:https://adventureworkscycle3.crm.crmifd.com/

有关详细信息,请参阅 Grant-AdfsApplicationPermission

另请参阅

实现基于声明的身份验证:内部访问

© 2017 Microsoft。 保留所有权利。 版权