De Microsoft Dynamics CRM-server configureren voor op claims gebaseerde verificatie

 

Gepubliceerd: november 2016

Is van toepassing op: Dynamics CRM 2015

Nadat u AD FS hebt geïnstalleerd, moet u het bindingstype en hoofddomeinen van Microsoft Dynamics CRM Server instellen voordat u op claims gebaseerde verificatie heeft.

In dit onderwerp

Microsoft Dynamics CRM Server-binding instellen naar HTTPS en de hoofddomeinwebadressen configureren

Het CRMAppPool-account en het Microsoft Dynamics CRM-versleutelingscertificaat

Het configureren van op claims gebaseerde verificatie met de wizard Op Claims Gebaseerde Verificatie

Op claims gebaseerde verificatie configureren met Windows PowerShell

Stel Leesmachtigingen voor het ADFSAppPool-account in

Microsoft Dynamics CRM Server-binding instellen naar HTTPS en de hoofddomeinwebadressen configureren

1. Start op de Microsoft Dynamics 365-server de Configuratiebeheer.

2. Klik in het deelvenster Acties op Eigenschappen.

3. Klik op het tabblad Webadres.

4. Selecteer onder Type binding de optie HTTPS.

5. Controleer of de webadressen geldig zijn voor uw SSL-certificaat en de SSL-poort die zijn gebonden aan de website Microsoft Dynamics 365. Omdat u de Microsoft Dynamics CRM Server configureert voor het gebruik van claimenverificatie voor interne toegang, gebruikt u de hostnaam voor de hoofddomeinwebadressen.

   Bijvoorbeeld, voor een *.contoso.com-jokercertificaat, gebruikt u internalcrm.contoso.com voor de webadressen.

   Als u AD FS en Microsoft Dynamics CRM Server op verschillende servers installeert, geeft u niet poort 443 op voor de Webtoepassingsserver, Organisatiewebservice, of Discovery-webservice.

   

6. Klik op OK.

   Waarschuwing

   Als Dynamics CRM voor Outlook-clients zijn geconfigureerd voor het gebruik van de oude bindingwaarden, moeten deze clients worden geconfigureerd met de nieuwe waarden.

Het CRMAppPool-account en het Microsoft Dynamics CRM-versleutelingscertificaat

Het certificaat dat u opgeeft in Wizard Op claims gebaseerde verificatie configureren wordt gebruikt door AD FS om een beveiligingstoken te versleutelen die aan de Microsoft Dynamics CRM Server - client wordt uitgegeven. Het CRMAppPool-account van elke Microsoft Dynamics 365-webtoepassing heeft leestoegang nodig tot de persoonlijke sleutel van het versleutelingscertificaat.

1. Maak op de Microsoft Dynamics 365-server een Microsoft Management Console (MMC) met de moduleconsole Certificaten die zich richt op het certificaatarchief van de lokale computer.

2. Vouw in de consolestructuur het knooppunt Certificaten (lokale computer)) uit, vouw het archief Persoonlijk uit en klik op Certificaten.

3. Klik in het detailvenster met de rechtermuisknop op het versleutelingscertificaat dat is opgegeven in de Wizard Op claims gebaseerde verificatie configureren, wijs Alle taken aan en klik op Persoonlijke sleutels beheren.

4. Klik op Toevoegen (of selecteer het netwerkserviceaccount als dat het account is dat u tijdens de installatie hebt gebruikt), voeg het CRMAppPool-account toe en verleen Lees-machtigingen.

   Notitie

   U kunt IIS-beheer gebruiken om te bepalen welk account is gebruikt tijdens de installatie voor het CRMAppPool-account. Klik in het venster Verbindingen op Groepen van toepassingen en controleer de waarde voor Identiteit voor CRMAppPool.

   

5. Klik op OK.

Het configureren van op claims gebaseerde verificatie met de wizard Op Claims Gebaseerde Verificatie

Voer de Wizard Op claims gebaseerde verificatie configureren uit om claimsverificatie op uw Microsoft Dynamics CRM Server in te schakelen.

1. Start op de Microsoft Dynamics 365-server de Configuratiebeheer.

2. Klik in de consolestructuur Configuratiebeheer met de rechtermuisknop op Microsoft Dynamics CRM en klik vervolgens op Op claims gebaseerde verificatie configureren.

3. Bekijk de inhoud van de pagina en klik op Volgende.

4. Voer op de pagina Geef de beveiligingstokenservice op de URL voor federatieve metagegevens in, zoals https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

   Deze gegevens bevinden zich doorgaans op de website waar Active Directory Federation Services wordt uitgevoerd. Als u de URL wilt controleren, opent u een internetbrowser en controleert u de URL voor de federatieve metagegevens. Controleer of er geen waarschuwingen in verband met certificaten worden weergegeven.

   U moet mogelijk Compatibiliteitsweergave in de Internet Explorer inschakelen.

5. Klik op Next.

6. Geef op de pagina Geef het versleutelingscertificaat op het versleutelingscertificaat op. Hiervoor gaat u op een van de volgende twee manieren te werk:

   • Typ in het vak Certificaat de volledige algemene naam (CN) van het certificaat in de notatie CN=certificaathoudernaam.

   • Klik onder Certificaat op Selecteren en selecteer vervolgens een certificaat.

   Dit certificaat wordt gebruikt door AD FS om de verificatiebeveiligingstokens te versleutelen die naar de client Microsoft Dynamics 365 worden verzonden.

   Notitie

   Het Microsoft Dynamics 365-serviceaccount moet leesmachtigingen voor de persoonlijke sleutel van het versleutelingscertificaat hebben. Raadpleeg voor meer informatie “Het CRMAppPool-account en het Microsoft Dynamics 365 versleutelingscertificaat” hierboven.

7. Klik op Next.

   Het token en certificaat dat u hebt opgegeven, worden gecontroleerd door de Wizard Op claims gebaseerde verificatie configureren.

8. Bekijk de resultaten op de pagina Systeemcontroles, los eventuele problemen op en klik op Volgende.

9. Controleer uw selecties op de pagina Controleer uw selecties en klik vervolgens op Toepassen en klik vervolgens op Toepassen.

10. Let op de URL die u moet gebruiken om de relying party toe te voegen aan de STS. Bekijk het logboekbestand en sla het op ter referentie.

11. Klik op Voltooien.

Op claims gebaseerde verificatie configureren met Windows PowerShell

1. Open op de Microsoft Dynamics 365 - server een Windows PowerShell - prompt.

2. Voeg de module Microsoft Dynamics 365Windows PowerShell toe:

   PS > Add-PSSnapin Microsoft.Crm.PowerShell 
   

3. Haal de instellingen voor op claims gebaseerde verificatie op:

   PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings" 
   

4. Configureer het object voor op claims gebaseerde verificatie:

   PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL
   

   Waarbij geldt:

   • 1 = 'waar'.

   • certificate_name is de naam van het versleutelingscertificaat.

   • federation_metadata_URL is de URL voor federatieve metagegevens voor de beveiligingstokenservice. (Bijvoorbeeld, https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.)

5. Stel de waarden voor op claims gebaseerde verificatie in:

   PS > Set-CrmSetting $claims
   

Stel Leesmachtigingen voor het ADFSAppPool-account in

Als u AD FS op een afzonderlijke server installeert, controleert u of het account dat voor de ADFSAppPool groep van toepassingen wordt gebruikt Lees-machtigingen heeft. Raadpleeg het voorafgaande onderwerp "CRMAppPool-account en het Microsoft Dynamics 365-versleutelingscertificaat" voor de processtappen.

Zie ook

Op claims gebaseerde verificatie implementeren: interne toegang.

© 2016 Microsoft Corporation. Alle rechten voorbehouden. Auteursrecht