Configurer le serveur Microsoft Dynamics 365 pour l'authentification basée sur les revendications
Date de publication : janvier 2017
S’applique à : Dynamics 365 (on-premises), Dynamics CRM 2016
Après avoir installé AD FS, vous devez définir le type de liaison Microsoft Dynamics 365 Server et les domaines racines avant de pouvoir activer l'authentification basée sur les revendications.
Contenu de la rubrique
Définir la liaison du serveur Microsoft Dynamics 365 sur HTTPS et configurer les adresses Web de domaine racine
Compte CRMAppPool et certificat de chiffrement Microsoft Dynamics CRM
Configuration de l'authentification basée sur les revendications à l'aide de l'Assistant Configurer l’authentification basée sur les revendications
Configuration de l’authentification basée sur les revendications à l’aide de Windows PowerShell
Définition des autorisations de lecture pour le compte ADFSAppPool
Définir la liaison du serveur Microsoft Dynamics 365 sur HTTPS et configurer les adresses Web de domaine racine
Sur le serveur Microsoft Dynamics 365, démarrez Gestionnaire de déploiement.
Dans le volet Actions, cliquez sur Propriétés.
Cliquez sur l'onglet Adresse Web.
Sous Type de liaison, sélectionnez HTTPS.
Vérifiez que les adresses Web sont valides pour votre certificat TLS/SSL et que le port TLS/SSL est lié au site Web Microsoft Dynamics 365. Comme vous configurez Microsoft Dynamics 365 Server pour utiliser l'authentification basée sur les revendications pour l'accès interne, utilisez le nom d'hôte pour les adresses Web de domaine racine.
Par exemple, pour un certificat générique *.contoso.com, vous utiliseriez internalcrm.contoso.com pour les adresses Web.
Si vous installez AD FS et Microsoft Dynamics 365 Server sur des serveurs distincts, ne spécifiez pas le port 443 pour Serveur d'application Web, Service Web d'organisation ou Service Web de découverte.
.jpeg "Configure the web address")
Cliquez sur OK.
Avertissement
Si les clients Dynamics 365 pour Outlook ont été configurés à l'aide d'anciennes valeurs de liaison, ils doivent être reconfigurés avec les nouvelles valeurs.
Compte CRMAppPool et certificat de chiffrement Microsoft Dynamics CRM
Le certificat que vous spécifiez dans Configuration de l'Assistant Authentification basée sur les revendications est utilisé par AD FS pour chiffrer les jetons de sécurité émis au client Microsoft Dynamics 365 Server. Le compte CRMAppPool de chaque application Web Microsoft Dynamics 365 doit disposer de l'autorisation de lecture sur la clé privée du certificat de chiffrement.
Dans le Microsoft Dynamics 365, créez une Microsoft Management Console (MMC) dotée de la console de logiciel enfichable Certificats qui cible le magasin de certificats de l'ordinateur local.
Dans l'arborescence de la console, développez le nœud Certificats (ordinateur local), puis le magasin Personnel et cliquez sur Certificats.
Dans le volet de détails, cliquez avec le bouton droit sur le certificat de chiffrement spécifié dans Configuration de l'Assistant Authentification basée sur les revendications, pointez sur Toutes les tâches, puis cliquez sur Gérer les clés privées.
Cliquez sur Add (ou sélectionnez le compte Service réseau s’il s’agit du compte que vous avez utilisé au cours de l’installation), ajoutez le compte CRMAppPool, puis octroyez les autorisations de Lecture.
Notes
Vous pouvez utiliser le Gestionnaire des services Internet (IIS) pour déterminer le compte qui a été utilisé lors de l'installation pour le compte CRMAppPool. Dans le volet Connexions , cliquez sur Pools d’applications, puis vérifiez la valeur Identité pour CRMAppPool.
.jpeg "IIS Application Pools")
Cliquez sur OK.
Configuration de l'authentification basée sur les revendications à l'aide de l'Assistant Configurer l’authentification basée sur les revendications
Exécutez Configuration de l'Assistant Authentification basée sur les revendications pour activer l'authentification des revendications sur le Microsoft Dynamics 365 Server.
Sur le serveur Microsoft Dynamics 365, démarrez Gestionnaire de déploiement.
Dans l'arborescence de la console du Gestionnaire de déploiement, cliquez avec le bouton droit sur Microsoft Dynamics 365, puis cliquez sur Configurer l'authentification basée sur les revendications.
Vérifiez le contenu de la page, puis cliquez sur Suivant.
Dans la page Spécifier le service d'émission de jeton de sécurité, entrez l'URL des métadonnées de fédération, telle que https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.
Ces données se trouvent généralement sur le site Web où Active Directory Federation Services s'exécute. Pour vérifier l'URL correcte, ouvrez un navigateur Internet et affichez l'URL des métadonnées de fédération. Vérifiez qu'aucun avertissement concernant le certificat n'apparaît.
Vous devrez peut-être activer l'Affichage de compatibilité d'Internet Explorer.
Cliquez sur Suivant.
Dans la page Spécifier le certificat de chiffrement, choisissez l'une des deux méthodes suivantes pour spécifier le certificat de chiffrement :
Dans le champ Certificat, tapez le nom commun (CN) complet du certificat en respectant le format CN=certificate_subject_name.
Sous Certificat, cliquez sur Sélectionner, puis sélectionnez un certificat.
Ce certificat permet à sert à AD FS de chiffrer les jetons d’authentification sécurisée envoyés au client Microsoft Dynamics 365.
Notes
Le compte de service Microsoft Dynamics 365 doit bénéficier des autorisations en lecture pour la clé privée du certificat de chiffrement. Pour plus d'informations, voir la section « Compte CRMAppPool et certificat de chiffrement Microsoft Dynamics 365 » ci-dessus.
Cliquez sur Suivant.
L'Configuration de l'Assistant Authentification basée sur les revendications vérifie le jeton et le certificat indiqués.
Dans la page Vérifications du système, passez les résultats en revue, réalisez les étapes nécessaires pour corriger les problèmes éventuels, puis cliquez sur Suivant.
Dans la page Vérifier vos sélections et cliquez sur Appliquer, vérifiez vos sélections puis cliquez sur Appliquer.
Notez l'URL que vous devez utiliser pour ajouter la partie de confiance au service d'émission de jeton de sécurité. Affichez et enregistrez le fichier journal pour vous y référer ultérieurement.
Cliquez sur Terminer.
Configuration de l’authentification basée sur les revendications à l’aide de Windows PowerShell
Sur le serveur Microsoft Dynamics 365, ouvrez une invite Windows PowerShell.
Ajoutez le composant logiciel enfichable Windows PowerShell pour Microsoft Dynamics 365 :
PS > Add-PSSnapin Microsoft.Crm.PowerShellObtenez les paramètres d’authentification basée sur les revendications :
PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"Configurez l’objet d’authentification basée sur les revendications :
PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URLOù :
1 = « true ».
certificate_name correspond au nom du certificat de chiffrement ;
federation_metadata_URL correspond à l'URL des métadonnées de fédération pour le service d'émission de jeton de sécurité (par exemple : https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml).
Définissez les valeurs d’authentification basée sur les revendications :
PS > Set-CrmSetting $claims
Définition des autorisations de lecture pour le compte ADFSAppPool
Si vous installez AD FS sur un autre serveur, vérifiez que le compte utilisé pour le pool d'applications ADFSAppPool dispose d'autorisations de Lecture. Voir la rubrique précédente « Compte CRMAppPool et certificat de chiffrement Microsoft Dynamics 365 » pour connaître les étapes.
Voir aussi
Implémentation de l'authentification basée sur les revendications : accès interne
© 2017 Microsoft. Tous droits réservés. Copyright