클레임 기반 인증을 위한 Microsoft Dynamics 365 서버 구성
게시 날짜: 2017년 1월
적용 대상: Dynamics 365 (on-premises), Dynamics CRM 2016
AD FS를 설치한 후 클레임 기반 인증을 사용하려면 먼저 Microsoft Dynamics 365 Server 바인딩 유형과 루트 도메인을 설정해야 합니다.
이 항목의 내용
HTTPS로 Microsoft Dynamics 365 Server 바인딩 설정 및 루트 도메인 웹 주소 구성
CRMAppPool 계정 및 Microsoft Dynamics CRM 암호화 인증서
클레임 기반 인증 구성 마법사를 사용하여 클레임 기반 인증 구성
Windows PowerShell을 사용하여 클레임 기반 인증 구성
ADFSAppPool 계정에 대한 읽기 권한 설정
HTTPS로 Microsoft Dynamics 365 Server 바인딩 설정 및 루트 도메인 웹 주소 구성
Microsoft Dynamics 365 서버에서 배포 관리자를 시작합니다.
작업 창에서 속성을 클릭합니다.
웹 주소 탭을 클릭합니다.
바인딩 유형에서 HTTPS를 선택합니다.
TLS/SSL 인증서에 대해 웹 주소가 유효하며 TLS/SSL 포트가 Microsoft Dynamics 365 웹 사이트에 바인딩되어 있는지 확인합니다. 내부 액세스를 위해 클레임 인증을 사용하도록 Microsoft Dynamics 365 Server를 구성하고 있으므로 루트 도메인 웹 주소의 호스트 이름을 사용합니다.
예를 들어 *.contoso.com 와일드카드 인증의 경우 웹 주소로 internalcrm.contoso.com을 사용합니다.
AD FS 및 Microsoft Dynamics 365 Server를 별도의 서버에 설치한 경우 웹 응용 프로그램 서버, Organization Web Service 또는 Discovery Web Service에 포트 443을 지정하지 마십시오.
확인을 클릭합니다.
경고
이전 바인딩 값을 사용하여 If Outlook용 Dynamics 365 클라이언트가 구성된 경우 해당 클라이언트를 새 값으로 구성해야 합니다.
CRMAppPool 계정 및 Microsoft Dynamics CRM 암호화 인증서
클레임 기반 인증 구성 마법사에서 지정한 인증서는 Microsoft Dynamics 365 Server 클라이언트에 발급된 보안 토큰을 암호화하기 위해 AD FS에서 사용됩니다. 각 Microsoft Dynamics 365 웹 응용 프로그램의 CRMAppPool 계정에는 암호화 인증서의 개인 키에 대한 읽기 권한이 있어야 합니다.
Microsoft Dynamics 365 서버에서 로컬 컴퓨터 인증서 저장소를 가리키는 인증서 스냅인 콘솔을 사용하여 Microsoft Management Console(MMC)을 만듭니다.
콘솔 트리에서 인증서(로컬 컴퓨터) 노드를 확장하고, 개인 저장소를 확장한 후 인증서를 클릭합니다.
세부 정보 창에서 클레임 기반 인증 구성 마법사에 지정된 암호화 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 후 개인 키 관리를 클릭합니다.
추가를 클릭하거나 설정 중에 사용한 네트워크 서비스 계정을 선택하고 CRMAppPool 계정을 추가한 후 읽기 권한을 부여합니다.
참고
IIS 관리자를 사용하면 CRMAppPool 계정 설정 중에 사용한 계정을 확인할 수 있습니다. 연결 창에서 응용 프로그램 풀을 클릭한 후 CRMAppPool의 ID 값을 확인하면 됩니다.
확인을 클릭합니다.
클레임 기반 인증 구성 마법사를 사용하여 클레임 기반 인증 구성
클레임 기반 인증 구성 마법사를 실행하여 Microsoft Dynamics 365 Server에 클레임 인증을 사용하도록 설정합니다.
Microsoft Dynamics 365 서버에서 배포 관리자를 시작합니다.
배포 관리자 콘솔 트리에서 Microsoft Dynamics 365을 마우스 오른쪽 단추로 클릭한 다음 클레임 기반 인증 구성을 클릭합니다.
페이지의 내용을 검토한 후 다음을 클릭합니다.
보안 토큰 서비스 지정 페이지에서 페더레이션 메타데이터 URL(예: https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml)을 입력합니다.
이 데이터는 일반적으로 Active Directory Federation Services가 실행 중인 웹 사이트에 있습니다. URL이 올바른지 확인하려면 인터넷 브라우저를 열어 페더레이션 메타데이터 URL을 확인합니다. 인증서 관련 경고가 나타나지 않아야 합니다.
Internet Explorer에서 호환성 보기를 설정해야 할 수도 있습니다.
다음을 클릭합니다.
암호화 인증서 지정 페이지에서 다음 두 가지 방법 중 하나를 사용하여 암호화 인증서를 지정합니다.
인증서 상자에 CN=certificate_subject_name 형식을 사용하여 인증서의 전체 CN(일반 이름)을 입력합니다.
인증서에서 선택을 클릭한 후 인증서를 선택합니다.
이 인증서는 Microsoft Dynamics 365 클라이언트에 발급된 인증 보안 토큰을 암호화하기 위해 AD FS에서 사용됩니다.
참고
Microsoft Dynamics 365 서비스 계정은 암호화 인증서의 개인 키에 대한 읽기 권한이 있어야 합니다. 자세한 내용은 위의 “CRMAppPool 계정 및 Microsoft Dynamics 365 암호화 인증서"를 참조하십시오.
다음을 클릭합니다.
클레임 기반 인증 구성 마법사에서는 사용자가 지정한 토큰 및 인증서를 확인합니다.
시스템 검사 페이지에서 결과를 검토하고, 문제 해결을 위해 필요한 단계를 수행한 후 다음을 클릭합니다.
선택한 사항을 검토한 다음 [적용]을 클릭하십시오. 페이지에서 선택한 사항을 확인한 후 적용을 클릭합니다.
보안 토큰 서비스에 신뢰 당사자를 추가하는 데 사용해야 하는 URL을 확인합니다. 나중에 참조할 수 있도록 로그 파일을 확인 후 저장합니다.
마침을 클릭합니다.
Windows PowerShell을 사용하여 클레임 기반 인증 구성
Microsoft Dynamics 365 서버에서 Windows PowerShell 프롬프트를 엽니다.
Microsoft Dynamics 365Windows PowerShell 스냅인을 추가합니다.
PS > Add-PSSnapin Microsoft.Crm.PowerShell
클레임 기반 인증 설정을 가져옵니다.
PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"
클레임 기반 인증 개체를 구성합니다.
PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL
여기서
1 = "true"입니다.
certificate_name은 암호화 인증서의 이름입니다.
federation_metadata_URL은 보안 토큰 서비스에 대한 페더레이션 메타데이터 URL입니다. (예: https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.)
클레임 기반 인증 값을 설정합니다.
PS > Set-CrmSetting $claims
ADFSAppPool 계정에 대한 읽기 권한 설정
별도의 서버에 AD FS를 설치할 경우 ADFSAppPool 응용 프로그램 풀에 읽기 권한이 있는지 확인합니다. 프로세스 단계는 위의 “CRMAppPool 계정 및 Microsoft Dynamics 365 암호화 인증서" 항목을 참조하십시오.
참고 항목
© 2017 Microsoft. All rights reserved. 저작권 정보