Condividi tramite

Configurare il server AD FS per l'autenticazione basata sulle attestazioni

  • Articolo

 

Data di pubblicazione: novembre 2016

Si applica a: Dynamics CRM 2015

Dopo avere attivato l'autenticazione basata sulle attestazioni, è necessario aggiungere e configurare il provider di attestazioni e i trust delle relying party in AD FS.

Configurare il trust del provider di attestazioni

È necessario aggiungere una regola attestazione per recuperare l'attributo di nome dell'entità utente (UPN) da Active Directory e inviarlo a Microsoft Dynamics 365 come UPN.

Configurare AD FS per l'invio dell'attributo UPN LDAP come attestazione a una relying party

  1. Nel server che esegue AD FS, avviare AD FS Management.

  2. Nel riquadro di spostamento espandere Relazioni di trust, quindi fare clic su Attendibilità provider di attestazioni.

  3. In Attendibilità provider di attestazioni, fare clic con il pulsante destro del mouse su Active Directory e quindi su Modifica regole attestazione.

  4. Nell'Editor regole attestazione, fare clic su Aggiungi regola.

  5. Nell'elenco Modello di regola attestazione selezionare il modello Inviare attributi LDAP come attestazioni e quindi fare clic su Avanti.

  6. Creare la regola seguente:

    • Nome regola attestazione: Regola attestazione UPN (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Archivio attributi: Active Directory

      2. Attributo LDAP: Nome dell'entità utente

      3. Tipo di attestazione in uscita: UPN

  7. Fare clic su Fine e quindi su OK per chiudere l'Editor regole attestazione.

Configurare un trust della relying party

Dopo aver abilitato l'autenticazione basata sulle attestazioni, è necessario configurare Server Microsoft Dynamics CRM come una relying party per utilizzare le attestazioni da AD FS per l'autenticazione dell'accesso basato su attestazioni interno.

  1. Nel server che esegue AD FS, avviare AD FS Management.

  2. Nel riquadro di spostamento espandere Relazioni di trust, quindi fare clic su Attendibilità componente.

  3. Nel menu Azioni disponibile nella colonna di destra fare clic su Aggiungi attendibilità componente.

  4. Nell'Aggiunta guidata attendibilità componente fare clic su Avvia.

  5. Nella pagina Seleziona origine dati fare clic su Importa dati sul componente pubblicati online o in una rete locale e quindi digitare l'URL per individuare il file federationmetadata.xml.

    I metadati di federazione vengono creati durante l'installazione delle attestazioni. Utilizzare l'URL elencato nell'ultima pagina della Configurazione guidata autenticazione basata sulle attestazioni (prima di fare clic su Fine), ad esempio, https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Verificare che non vengano visualizzati avvisi relativi ai certificati.

  6. Fare clic su Avanti.

  7. Nella pagina Specifica nome visualizzato digitare un nome visualizzato, ad esempio Relying party attestazioni CRM e quindi fare clic su Avanti.

  8. Nella pagina Configura ora autenticazione a più fattori effettuare le selezioni desiderate e fare clic su Avanti.

  9. Nella pagina Scegli regole di autorizzazione rilascio fare clic su Consenti a tutti gli utenti l'accesso a questo componente e quindi fare clic su Avanti.

  10. Nella pagina Aggiunta attendibilità, nella scheda Identificatori, verificare che in Identificatori relying party sia presente un unico identificatore come il seguente:

    Se l'identificatore è diverso diversi dall'esempio seguente, fare clic su Indietro nell'Aggiunta guidata attendibilità componente e selezionare l'indirizzo dei metadati di federazione.

  11. Fare clic su Avanti e quindi su Chiudi.

  12. Se viene visualizzato l'Editor regole attestazione, fare clic su Aggiungi regola. In caso contrario, nell'elenco Attendibilità componente fare clic con il pulsante destro del mouse sull'oggetto relying party creato, fare clic su Modifica regole attestazione e quindi fare clic su Aggiungi regola.

    Importante

    Assicurarsi che la scheda Regole di trasformazione rilascio sia selezionata.

  13. Nell'elenco Modello di regola attestazione selezionare il modello Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso e quindi fare clic su Avanti:

  14. Creare la regola seguente:

    • Nome regola attestazione: UPN pass-through (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Tipo di attestazione in ingresso: UPN

      2. Pass-through di tutti i valori attestazione

  15. Fare clic su Fine.

  16. Nell'Editor regole attestazione fare clic su Aggiungi regola, nell'elenco Modello di regola attestazione selezionare il modello Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso e quindi fare clic su Avanti.

  17. Creare la regola seguente:

    • Nome regola attestazione: SID primario pass-through (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Tipo di attestazione in ingresso: SID primario

      2. Pass-through di tutti i valori attestazione

  18. Fare clic su Fine.

  19. Nell'Editor regole attestazione fare clic su Aggiungi regola.

  20. Nell'elenco Modello di regola attestazione selezionare il modello Trasformare un'attestazione in ingresso e quindi fare clic su Avanti:

  21. Creare la regola seguente:

    • Nome regola attestazione: Trasforma nome account Windows in (o un nome descrittivo)

    • Aggiungere il mapping seguente:

      1. Tipo di attestazione in ingresso: Nome account Windows

      2. Tipo di attestazione in uscita: Nome

      3. Pass-through di tutti i valori attestazione

  22. Fare clic su Fine e, dopo aver creato tutte e tre le regole, fare clic su OK per chiudere l'Editor regole di attestazione.

    Tre regole attestazione

    La figura mostra le tre regole trust della relying create.

Il trust della relying party creato definisce il modo in cui AD FS Federation Service riconosce la relying party Microsoft Dynamics 365 e invia attestazioni a essa.

Abilitare l'autenticazione basata su form

In AD FS in Windows Server 2012 R2, l'autenticazione basata su form non è abilitata per impostazione predefinita.

  1. Accedere al server AD FS come amministratore.

  2. Aprire la console di gestione AD FS e fare clic su Criteri di autenticazione.

  3. In Autenticazione principale, Impostazioni globali, Metodi di autenticazione fare clic su Modifica.

  4. In Intranet, abilitare (selezionare) Autenticazione basata su form e quindi fare clic su OK.

Abilitare l'autenticazione dei moduli

Vedere anche

Implementare l'autenticazione basata sulle attestazioni: accesso interno

© 2016 Microsoft Corporation. Tutti i diritti sono riservati. Copyright