Configurare il server Microsoft Dynamics CRM per l'autenticazione basata sulle attestazioni

 

Data di pubblicazione: novembre 2016

Si applica a: Dynamics CRM 2015

Dopo aver installato AD FS, è necessario impostare il tipo di binding Server Microsoft Dynamics CRM e domini radice prima per abilitare l'autenticazione basata sulle attestazioni.

In questo argomento

Impostare il binding del server Microsoft Dynamics CRM su HTTPS e configurare gli indirizzi Web dei domini radice

Account CRMAppPool e certificato di crittografia di Microsoft Dynamics CRM

Configurazione dell'autenticazione basata sulle attestazioni mediante la Configurazione guidata autenticazione basata sulle attestazioni

Configurazione dell'autenticazione basata sulle attestazioni mediante Windows PowerShell

Impostare le autorizzazioni Lettura per l'account ADFSAppPool

Impostare il binding del server Microsoft Dynamics CRM su HTTPS e configurare gli indirizzi Web dei domini radice

1. Nel server Microsoft Dynamics 365 avviare Gestione distribuzione.

2. Nel riquadro Azioni fare clic su Proprietà.

3. Fare clic sulla scheda Indirizzo Web.

4. In Tipo di binding selezionare HTTPS.

5. Verificare che gli indirizzi Web siano validi per il certificato SSL e che la porta SSL sia associata al sito Web di Microsoft Dynamics 365. Poiché si configura Server Microsoft Dynamics CRM per utilizzare l'autenticazione basata sulle attestazioni per l'accesso interno, utilizzare il nome host per gli indirizzi Web dei domini radice.

   Ad esempio, per un certificato con caratteri jolly *.contoso.com, occorre utilizzare internalcrm.contoso.com per gli indirizzi Web.

   Se si installa AD FS e Server Microsoft Dynamics CRM in server distinti, non specificare la porta 443 per Server applicazione Web, Servizio Web organizzazione o Servizio Web di individuazione.

   

6. Fare clic su OK.

   Avviso

   Se i client Dynamics CRM per Outlook sono stati configurati utilizzando i precedenti valori di binding, sarà necessario configurare tali client con i nuovi valori.

Account CRMAppPool e certificato di crittografia di Microsoft Dynamics CRM

Il certificato specificato in Configurazione guidata autenticazione basata sulle attestazioni viene utilizzato da AD FS per crittografare i token di sicurezza inviati al client Server Microsoft Dynamics CRM. L'account CRMAppPool di ogni applicazione Web Microsoft Dynamics 365 deve disporre dell'autorizzazione di lettura per la chiave privata del certificato di crittografia.

1. Nel server Microsoft Dynamics 365 creare una Microsoft Management Console (MMC) con la console snap-in Certificati sull'archivio certificati del Computer locale.

2. Nell'albero della console espandere il nodo Certificati (Computer locale), espandere l'archivio Personale e quindi fare clic su Certificati.

3. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul certificato di crittografia specificato nella Configurazione guidata autenticazione basata sulle attestazioni, scegliere Tutte le attività e quindi fare clic su Gestisci chiavi private.

4. Fare clic su Aggiungi (o selezionare l'account Servizio di rete se è l'account che è stato utilizzato durante l'installazione), aggiungere l'account CRMAppPool e quindi concedere le autorizzazioni Lettura.

   Nota

   È possibile utilizzare Gestione IIS per determinare l'account utilizzato durante l'installazione per l'account CRMAppPool. Nel riquadro Connessioni fare clic su Pool di applicazioni e quindi controllare il valore Identità per CRMAppPool.

   

5. Fare clic su OK.

Configurazione dell'autenticazione basata sulle attestazioni mediante la Configurazione guidata autenticazione basata sulle attestazioni

Eseguire Configurazione guidata autenticazione basata sulle attestazioni per abilitare l'autenticazione basata sulle attestazioni nel Server Microsoft Dynamics CRM.

1. Nel server Microsoft Dynamics 365 avviare Gestione distribuzione.

2. Nell'albero della console di Gestione distribuzione fare clic con il pulsante destro del mouse su Microsoft Dynamics CRM e quindi selezionare Configura autenticazione basata sulle attestazioni.

3. Verificare il contenuto della pagina, quindi fare clic su Avanti.

4. Nella pagina Specificare il servizio token di sicurezza immettere l'URL dei metadati di federazione, ad esempio https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

   In genere questi dati si trovano nel sito Web in cui è in esecuzione Active Directory Federation Services. Per verificare l'URL corretto, aprire un browser Internet e visualizzare l'URL dei metadati di federazione. Verificare che non vengano visualizzati avvisi relativi ai certificati.

   Potrebbe essere necessario abilitare Visualizzazione Compatibilità in Internet Explorer.

5. Fare clic su Avanti.

6. Nella pagina Specificare il certificato di crittografia, specificare il certificato di crittografia in uno dei due modi seguenti:

   • Nella casella Certificato digitare il nome del certificato. Digitare il nome comune (CN) completo del certificato nel formato CN=nome_oggetto_certificato.

   • In Certificato fare clic su Seleziona, quindi selezionare un certificato.

   Questo certificato viene utilizzato da AD FS per crittografare i token di sicurezza dell'autenticazione inviati al client Microsoft Dynamics 365.

   Nota

   L'account di servizio di Microsoft Dynamics 365 deve disporre delle autorizzazioni di lettura per la chiave privata del certificato di crittografia. Per ulteriori informazioni, vedere l'argomento "Account CRMAppPool e certificato di crittografia Microsoft Dynamics 365" precedente.

7. Fare clic su Avanti.

   Il token e il certificato specificati verranno verificati dalla Configurazione guidata autenticazione basata sulle attestazioni.

8. Nella pagina Controlli di sistema verificare i risultati, eseguire le eventuali operazioni necessarie per risolvere i problemi e quindi fare clic su Avanti.

9. Nella pagina Controllare le impostazioni selezionate, quindi fare clic su Applica verificare le selezioni effettuate, quindi fare clic su Applica.

10. Prendere nota dell'URL da utilizzare per aggiungere la relying party al servizio token di sicurezza. Visualizzare e salvare il file di registro per riferimento futuro

11. Fare clic su Fine.

Configurazione dell'autenticazione basata sulle attestazioni mediante Windows PowerShell

1. Nel server Microsoft Dynamics 365 aprire un prompt di Windows PowerShell.

2. Aggiungere lo snap-in di Microsoft Dynamics 365Windows PowerShell:

   PS > Add-PSSnapin Microsoft.Crm.PowerShell 
   

3. Recuperare le impostazioni dell'autenticazione basata sulle attestazioni:

   PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings" 
   

4. Configurare l'oggetto dell'autenticazione basata sulle attestazioni:

   PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL
   

   Dove:

   • 1 = "true".

   • certificate_name è il nome del certificato di crittografia.

   • federation_metadata_URL è l'URL dei metadati di federazione per il servizio token di sicurezza. Ad esempio, https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

5. Impostare i valori dell'autenticazione basata sulle attestazioni:

   PS > Set-CrmSetting $claims
   

Impostare le autorizzazioni Lettura per l'account ADFSAppPool

Se si installa AD FS in un server distinto, verificare che l'account utilizzato per il pool di applicazioni ADFSAppPool disponga di autorizzazioni Lettura. Per i passaggi della procedura vedere l'argomento "Account CRMAppPool e certificato di crittografia Microsoft Dynamics 365" precedente.

Vedere anche

Implementare l'autenticazione basata sulle attestazioni: accesso interno

© 2016 Microsoft Corporation. Tutti i diritti sono riservati. Copyright