Konfigurere Microsoft Dynamics 365-serveren til kravsbaseret godkendelse

 

Udgivet: januar 2017

Gælder for: Dynamics 365 (on-premises), Dynamics CRM 2016

Når du har installeret AD FS, skal du angive bindingstypen for Microsoft Dynamics 365 Server og roddomæner, før du aktiverer kravsbaseret godkendelse.

Dette emne indeholder

Indstille Microsoft Dynamics 365-serverbinding til HTTPS og konfigurere webadresser til roddomænet

CRMAppPool-kontoen og Microsoft Dynamics CRM-krypteringscertifikatet

Konfiguration af kravsbaseret godkendelse ved hjælp af guiden Konfigurer kravsbaseret godkendelse

Konfigurere kravsbaseret godkendelse ved hjælp af Windows PowerShell

Angive læsetilladelse for kontoen ADFSAppPool

Indstille Microsoft Dynamics 365-serverbinding til HTTPS og konfigurere webadresser til roddomænet

1. Start Installationsstyring på Microsoft Dynamics 365-serveren.

2. Klik på Egenskaber i ruden Handlinger.

3. Klik på fanen Webadresse.

4. Vælg HTTPS under Bindingstype.

5. Kontrollér, at webadresserne er gyldige for dit TLS/SSL-certifikat, og at TLS/SSL-porten er bundet til Microsoft Dynamics 365-webstedet. Da du konfigurerer Microsoft Dynamics 365 Server for at bruge godkendelse af krav til intern adgang, skal du bruge værtsnavnet for webadresser til roddomæner.

   Hvis certifikatet eksempelvis er *. contoso.com-certifikat med jokertegn, skal du bruge internalcrm.contoso.com til webadresserne.

   Hvis du installerer AD FS og Microsoft Dynamics 365 Server på separate servere, skal du ikke angive port 443 til den Webprogramserver, Organisationswebtjeneste eller Registreringswebtjeneste.

   

6. Klik på OK.

   Advarsel!

   Hvis Dynamics 365 til Outlook-klienter er konfigureret ved hjælp af de gamle bindingsværdier, skal disse klienter konfigureres med de nye værdier.

CRMAppPool-kontoen og Microsoft Dynamics CRM-krypteringscertifikatet

Det certifikat, du angiver i Guiden Konfigurer kravsbaseret godkendelse, bruges af AD FS til at kryptere sikkerhedstokens, der er udstedt til Microsoft Dynamics 365 Server-klienten. CRMAppPool-kontoen for alle webprogrammer i Microsoft Dynamics 365 skal have læsetilladelse til den private nøgle i krypteringscertifikatet.

1. Opret en MMC (Microsoft Management Console) på Microsoft Dynamics 365-serveren med snap-in-konsollen Certifikater, som er rettet mod certifikatlageret Lokal computer.

2. Udvid noden Certifikater (Lokal computer) i konsoltræet, udvid det personlige lager, og klik derefter på Certifikater.

3. Højreklik i detaljeruden på det krypteringscertifikat, der er angivet i Guiden Konfigurer kravsbaseret godkendelse, peg på Alle opgaver, og klik derefter på Administrer private nøgler.

4. Klik på Tilføj (eller vælg netværkstjenestekontoen, hvis det er den konto, du brugte under konfigurationen), tilføj CRMAppPool-kontoen, og tildel derefter tilladelsen Læs

   Bemærk

   Du kan bruge IIS Manager til at fastslå, hvilken konto der blev brugt under installationen for CRMAppPool-kontoen. Gå til ruden Connections, klik på Application Pools, og markér derefter afkrydsningsfeltet for værdien Identity for CRMAppPool.

   

5. Klik på OK.

Konfiguration af kravsbaseret godkendelse ved hjælp af guiden Konfigurer kravsbaseret godkendelse

Kør Guiden Konfigurer kravsbaseret godkendelse for at aktivere kravsgodkendelse på din Microsoft Dynamics 365 Server.

1. Start Installationsstyring på Microsoft Dynamics 365-serveren.

2. Højreklik på Microsoft Dynamics 365 i konsoltræet i Installationsstyring, og klik derefter på Konfigurer kravsbaseret godkendelse.

3. Gennemse sideindholdet, og klik derefter på Næste.

4. Angiv URL-adressen til samlingsmetadata på siden Angiv sikkerhedstokentjenesten, f.eks. https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

   Disse data er typisk placeret på det websted, hvor Active Directory Federation Services kører. Du kan kontrollere, at webadressen er korrekt, ved at åbne en internetbrowser og få vist URL-adressen til samlingsmetadataene. Kontrollér, at der ikke vises nogen advarsler, der vedrører certifikatet.

   Du skal muligvis slå Kompatibilitetsvisning til i Internet Explorer.

5. Klik på Næste.

6. Angiv krypteringscertifikatet på en af to måder på siden Angiv krypteringscertifikatet:

   • Skriv navnet på certifikatet i feltet Certifikat. Skriv det fuldstændige CN (almindelige navn) på certifikatet i formatet CN=certifikatemnenavn.

   • Klik på Vælg under Certifikat, og vælg derefter et certifikat.

   Certifikatet bruges af AD FS til kryptering af de sikkerhedstokens til godkendelse, der sendes til Microsoft Dynamics 365-klienten.

   Bemærk

   Tjenestekontoen i Microsoft Dynamics 365 skal have læsetilladelser til den private nøgle i krypteringscertifikatet. Du kan finde flere oplysninger under “CRMAppPool-kontoen og Microsoft Dynamics 365-krypteringscertifikatet" ovenfor.

7. Klik på Næste.

   Det angivne token og certifikat kontrolleres i Guiden Konfigurer kravsbaseret godkendelse.

8. Gennemse resultaterne på siden Systemkontroller, løs eventuelle problemer, og klik derefter på Næste.

9. Kontrollér dine indstillinger på siden Gennemse markeringerne, og klik derefter på Anvend, og klik derefter på Anvend.

10. Notér den webadresse, du skal bruge til at føje Relying Party til sikkerhedstokentjenesten. Få vist og gem logfilen, så du senere kan gå tilbage og se den.

11. Klik på Udfør.

Konfigurere kravsbaseret godkendelse ved hjælp af Windows PowerShell

1. Åbn en Windows PowerShell-prompt på Microsoft Dynamics 365-serveren.

2. Tilføj Microsoft Dynamics 365Windows PowerShell-snap-in'en:

   PS > Add-PSSnapin Microsoft.Crm.PowerShell 
   

3. Hent indstillingerne for kravsbaseret godkendelse:

   PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings" 
   

4. Konfigurer objektet for kravsbaseret godkendelse:

   PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL
   

   Hvor:

   • 1 = "true".

   • certificate_name er navnet på krypteringscertifikatet.

   • federation_metadata_URL er URL-adressen for samlingsmetadata for sikkerhedstokentjenesten. (Eksempel: https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.)

5. Angiv værdierne for kravsbaseret godkendelse:

   PS > Set-CrmSetting $claims
   

Angive læsetilladelse for kontoen ADFSAppPool

Hvis du installerer AD FS på en separat server, skal du kontrollere, at den konto, der bruges til ADFSAppPool-programgruppen, har læsetilladelser. Se det foregående emne, "CRMAppPool-kontoen og Microsoft Dynamics 365-krypteringscertifikatet" for processen.

Se også

Implementere kravsbaseret godkendelse: intern adgang

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret