次の方法で共有

クレームベース認証の構成

  • [アーティクル]

クレームベースのセキュリティ モデルは、従来の認証モデルを拡張して、ユーザーについての情報を含む他のディレクトリ ソースも対象とするようになりました。 この ID フェデレーション (連携) により、Active Directory ドメイン サービス、インターネットからの顧客、ビジネス パートナーなど、さまざまなソースからのユーザーが Dynamics 365 Customer Engagement (on-premises) を使用できます。

重要

クレームベース認証は、Dynamics 365 Customer Engagement (on-premises) インターネットに接続する展開 (IFD) アクセスに必要です。 しかし、Dynamics 365 Customer Engagement (on-premises) ユーザーが存在するドメインと同じドメインに Dynamics 365 Customer Engagement (on-premises) が展開されているか、ユーザーが信頼できるドメインに存在している場合、イントラネットでの Dynamics 365 Customer Engagement (on-premises) アクセスにクレーム ベース認証は必要ありません。

クレーム ベース認証の構成ウィザードを実行する前に、Active Directory フェデレーション サービス (AD FS) などのセキュリティ トークン サービス (STS) を使用できる必要があります。 Active Directory フェデレーション サービス (AD FS) の詳細については、ID およびアクセス管理を参照してください。

クレームベース認証の構成

  1. 展開マネージャーを開始します。

  2. 次の方法で、バインディングの種類 を HTTPS に設定します。

    • 操作ウィンドウで、プロパティを選択します。

    • Web アドレスタブを選択します。

    • バインディングの種類 で、HTTPS を選択します。

    • OK を選択します。

    重要

    クレーム ベース認証を使用するには、バインディングの種類を HTTPS に設定しなくてはなりません

    Web アドレスが TLS/SSL 証明書に対して有効で、TLS/SSL ポートが Dynamics 365 Customer Engagement (on-premises) Web サイトにバインドされていることを確認します。

    Dynamics 365 for Outlook クライアントが古いバインディング値を使用して設定されている場合は、そのクライアントを新しい値で設定する必要があります。

  3. クレームベース認証ウィザードの構成はを次のいずれかの方法で開きます:

    • 操作ウィンドウで、クレームベース認証の構成を選択します。

    • 展開マネージャーのコンソール ツリーで Dynamics 365 Customer Engagement (on-premises) を右クリックし、クレームベース認証の構成 を選択します。

  4. 次へを選択します。

  5. セキュリティ トークン サービスの指定 ページで、 https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml のように フェデレーション メタデータ URL を入力します。

    このデータは、Active Directory フェデレーション サービス (AD FS) が実行している Web サイトにあります。 正しい URL を確認するには、この URL を使用してインターネット ブラウザーを開き、フェデレーション メタデータを表示します。 証明書関連の警告が表示されないことを確認します。

  6. 次へを選択します。

  7. 次の 2 つのうち、いずれかの方法によって、暗号証明書の指定 ページで暗号証明書を指定します。

    • 証明書 ボックスに証明書の名前を入力します。 証明書の完全な共通名 (CN) は CN=certificate_subject_name 形式で入力します。

    • 証明書で、選択を選択し、証明書を選択します。

    この証明書は、 Security Token Service (STS) に送信される、Active Directory フェデレーション サービス (AD FS) 認証セキュリティ トークンを暗号化するために使用されます。

    注意

    Dynamics 365 Customer Engagement (on-premises) サービス アカウントには、暗号証明書の秘密キーに対する読み取り権限が必要です。 CRMAppPool アカウントと Microsoft Dynamics 365 Customer Engagement (on-premises) 暗号証明書 を参照してください。

  8. 次へ を選択します。

    クレームベース認証の構成ウィザードは、指定したトークンと証明書を検証します。

  9. システムのチェックページで、結果を確認し、問題があれば修正して、次へを選択します。

  10. 選択項目を確認し、適用をクリックしてくださいページで、選択項目を確認し、適用を選択します。

  11. 証明書利用者をセキュリティ トークン サービスに追加するために使用しなければならない URL をメモします。 ログ ファイルを表示し、後で参照するために保存します。

  12. ページに表示される情報を記録したら、完了を選択します。

  13. 証明書利用者をクレームベース認証用に構成します。

    重要

    クレームベース認証は、証明書利用者を STS で作成するまで機能しません。 詳細については、AD FS サーバーをクレーム ベース認証用に構成するを参照してください。

CRMAppPool アカウントと Microsoft Dynamics 365 Customer Engagement (on-premises) 暗号証明書

Dynamics 365 Customer Engagement (on-premises) から Active Directory フェデレーション サービス (AD FS) に送信されるクレーム データは、クレーム ベース認証の構成ウィザードで指定した証明書を使用して暗号化されます。 各 Dynamics 365 Customer Engagement (on-premises) Web アプリケーションの CRMAppPool アカウントには、暗号証明書の秘密キーに関する読み取りアクセス許可が必要です。

  1. Dynamics 365 Server で、ローカル コンピューターの証明書ストアを対象にする 証明書スナップイン コンソール付きの Microsoft Management Console (MMC) を作成します。

  2. コンソール ツリーで、証明書 (ローカル コンピューター) ノード、個人ストアの順に展開し、証明書を選択します。

  3. 詳細ウィンドウで、クレームベース認証ウィザードの構成で指定した暗号証明書を右クリックし、すべてのタスクをポイントして、秘密キーの管理を選択します。

  4. 追加を選択し (または、セットアップ時に使用したネットワーク サービス アカウントがある場合はそのアカウントを選択し)、CRMAppPool アカウントを追加し、読み取りアクセス許可を付与します。

    チップ

    IIS マネージャーを使用すると、CRMAppPool アカウントのセットアップ時にどのアカウントを使用したかを確認できます。 接続ウィンドウで、アプリケーション プールを選択し、CRMAppPool の ID 値をオンにします。

  5. OK を選びます。

関連項目

クレームベース認証の無効化
インターネットに接続する展開の構成