Freigeben über

Konfigurieren der anspruchsbasierten Authentifizierung

  • Artikel

 

Veröffentlicht: Januar 2017

Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016

Das anspruchsbasierte Sicherheitsmodell erweitert herkömmliche Authentifizierungsmodelle, indem andere Verzeichnisquellen einbezogen werden, die Informationen über Benutzer enthalten. Über diesen Identitätsverbund können Benutzer aus verschiedenen Quellen – beispielsweise Active Directory-Domänendienste, über das Internet zugreifende Kunden oder Geschäftspartner – Microsoft Dynamics 365 verwenden.

Wichtig

Anspruchsbasierte Authentifizierung ist für den Zugriff auf eine Microsoft Dynamics 365 Bereitstellung mit Internetzugriff (IFD) erforderlich. Die anspruchsbasierte Authentifizierung ist jedoch für den IntranetMicrosoft Dynamics 365-Zugang nicht erforderlich, wenn Microsoft Dynamics 365 in derselben Domäne bereitgestellt ist, in der sich alle Microsoft Dynamics 365 Benutzer befinden, oder wenn sich die Benutzer in einer vertrauenswürdigen Domäne befinden.

Bevor Sie den Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren ausführen, muss ein Sicherheitstokendienst (STS) wie Active Directory Federation Services (AD FS) verfügbar sein. Weitere Informationen zu Active Directory Federation Services (AD FS) finden Sie unter Identitäts- und Zugriffsverwaltung.

Konfigurieren der anspruchsbasierten Authentifizierung

  1. Starten Sie den Bereitstellungs-Manager.

  2. Legen Sie den Bindungstyp wie folgt auf HTTPS fest:

    • Klicken Sie im Bereich Aktionen auf Eigenschaften.

    • Klicken Sie auf die Registerkarte Internetadresse.

    • Wählen Sie unter Bindungstyp die Option HTTPS aus.

    • Klicken Sie auf OK.

    Wichtig

    Der Bindungstypmuss auf HTTPS festgelegt sein, um die anspruchsbasierte Authentifizierung zu verwenden.

    Überprüfen Sie, ob die Webadressen für das TLS/SSL-Zertifikat gültig sind und der TLS/SSL-Port an die Microsoft Dynamics 365-Website gebunden ist.

    Falls Dynamics 365 für Outlook-Clients mithilfe der alten Bindungswerte konfiguriert wurden, müssen diese Clients mit den neuen Werten konfiguriert werden.

  3. Sie können den Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren auf eine der beiden folgenden Arten öffnen:

    • Klicken Sie im Bereich Aktionen auf Anspruchsbasierte Authentifizierung konfigurieren.

    • Klicken Sie in der Bereitstellungs-Manager-Konsolenstruktur mit der rechten Maustaste auf Microsoft Dynamics 365, und klicken Sie dann auf Anspruchsbasierte Authentifizierung konfigurieren.

  4. Klicken Sie auf Weiter.

  5. Geben Sie auf der Seite Geben Sie den Sicherheitstokendienst an die Verbundmetadaten-URL ein, z. B. https://adfs.contoso.com/federationmetadata2007-06/federationmetadata.xml.

    Diese Daten befinden sich normalerweise auf der Website, auf der Active Directory Federation Services (AD FS) ausgeführt wird. Wenn Sie überprüfen möchten, ob Sie die richtige URL verwenden, öffnen Sie mithilfe der URL einen Internetbrowser, um die Verbundmetadaten anzuzeigen. Vergewissern Sie sich, dass keine zertifikatbezogenen Warnungen angezeigt werden.

  6. Klicken Sie auf Weiter.

  7. Geben Sie auf der Seite Geben Sie das Verschlüsselungszertifikat an das Verschlüsselungszertifikat auf eine der beiden folgenden Arten ein:

    • Geben Sie im Feld Zertifikat den Namen des Zertifikats ein. Geben Sie den vollständigen allgemeinen Namen (Common Name, CN) des Zertifikats im Format CN=certificate_subject_name ein.

    • Klicken Sie unter Zertifikat auf Auswählen, und wählen Sie dann ein Zertifikat aus.

    Dieses Zertifikat wird verwendet, um die Authentifizierungssicherheitstoken, die an den Active Directory Federation Services (AD FS)-Sicherheitstokendienst (STS) gesendet werden, zu verschlüsseln.

    Hinweis

    Das Microsoft Dynamics 365-Dienstkonto muss über Leseberechtigungen für den privaten Schlüssel des Verschlüsselungszertifikats verfügen. Siehe den folgenden Abschnitt Das CRMAppPool-Konto und das Microsoft Dynamics CRM-Verschlüsselungszertifikat.

  8. Klicken Sie auf Weiter.

    Der Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren überprüft das angegebene Token und Zertifikat.

  9. Prüfen Sie auf der Seite Systemüberprüfungen die Ergebnisse, beheben Sie alle Probleme, und klicken Sie dann auf Weiter.

  10. Überprüfen Sie auf der Seite Überprüfen Sie die Auswahl, und klicken Sie dann auf "Übernehmen" Ihre Auswahl, und klicken Sie dann auf Übernehmen.

  11. Beachten Sie die URL, die Sie zum Hinzufügen der vertrauenden Seite zum Sicherheitstokendienst verwenden müssen. Zeigen Sie die Protokolldatei an, und speichern Sie sie zu Referenzzwecken.

  12. Beachten Sie die Informationen auf der Seite, und klicken Sie anschließend auf Fertig stellen.

  13. Konfigurieren Sie die vertrauenden Seiten für die anspruchsbasierte Authentifizierung.

    Wichtig

    Die anspruchsbasierte Authentifizierung funktioniert erst, nachdem Sie die vertrauenden Seiten in STS konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren des AD FS-Servers für die anspruchsbasierte Authentifizierung.

Das CRMAppPool-Konto und das Microsoft Dynamics CRM-Verschlüsselungszertifikat

Von Microsoft Dynamics 365 an Active Directory Federation Services (AD FS) gesendete Anspruchsdaten werden mithilfe eines Zertifikats verschlüsselt, das Sie im Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren angeben. Das CRMAppPool-Konto jeder Microsoft Dynamics 365-Webanwendung muss über Leseberechtigungen für den privaten Schlüssel des Verschlüsselungszertifikats verfügen.

  1. Erstellen Sie auf dem Microsoft Dynamics 365 Server eine Microsoft Management Console (MMC) mit der Snap-In-Konsole für Zertifikate, die als Ziel den Zertifikatspeicher des lokalen Computers verwendet.

  2. Erweitern Sie in der Konsolenstruktur den Knoten Zertifikate (lokaler Computer), erweitern Sie den Speicher Persönlich, und klicken Sie anschließend auf Zertifikate.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf das in Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren angegebene Verschlüsselungszertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Private Schlüssel verwalten.

  4. Klicken Sie auf Hinzufügen (oder wählen Sie das Netzwerkdienstkonto aus, falls Sie dieses Konto beim Setup verwendet haben), fügen Sie das CRMAppPool-Konto hinzu, und gewähren Sie anschließend Leseberechtigungen.

    Tipp

    Sie können IIS-Manager verwenden, um zu ermitteln, welches Konto beim Setup für das CRMAppPool-Konto verwendet wurde. Klicken Sie im Bereich Verbindungen auf Anwendungspools, und überprüfen Sie den Wert Identität für CRMAppPool.

  5. Klicken Sie auf OK.

Siehe auch

Deaktivieren der anspruchsbasierten Authentifizierung
Konfigurieren einer Bereitstellung mit Internetzugriff

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright