Configure o Microsoft Dynamics CRM Server para autenticação baseada em declarações
Publicado: novembro de 2016
Aplicável a: Dynamics CRM 2015
Após de instalar o AD FS, é necessário definir o tipo de vínculo do Microsoft Dynamics CRM Server e os domínios raiz antes de habilitar a autenticação baseada em declarações.
Neste tópico
Defina o Microsoft Dynamics CRM Server vinculado ao HTTPS e configure os endereços de Web do domínio raiz
A conta CRMAppPool e o certificado de criptografia do Microsoft Dynamics CRM
Configurar a autenticação baseada em declarações usando o Assistente de Configuração de Autenticação Baseada em Declarações
Configurando a autenticação baseada em declarações usando o Windows PowerShell
Definir permissões de leitura para a conta de ADFSAppPool
Defina o Microsoft Dynamics CRM Server vinculado ao HTTPS e configure os endereços de Web do domínio raiz
No Microsoft Dynamics 365 server, inicie o Gerenciador de Implantação.
No painel Ações, clique em Propriedades.
Clique na guia Endereço Web.
Em Tipo de Associação, selecione HTTPS.
Verifique se os endereços Web são válidos para o seu certificado SSL e se a porta SSL está associada ao site do Microsoft Dynamics 365. Como você está configurando o Microsoft Dynamics CRM Server para usar a autenticação de declarações para acesso interno, use o nome de host para os endereços da Web do domínio raiz.
Por exemplo, para um certificado curinga de *.contoso.com, você usaria internalcrm.contoso.com para os endereços da Web.
Se você instalar o AD FS e o Microsoft Dynamics CRM Server em servidores diferentes, não especifique a porta 443 para o Servidor de Aplicativos Web, Serviço Web de Organização ou Serviço Web de Descoberta.
.jpeg "Configurações de endereço web")
Clique em OK.
Aviso
Se os clientes do Dynamics CRM para Outlook foram configurados utilizando valores de associação antigos, esses clientes terão que ser configurados com os novos valores.
A conta CRMAppPool e o certificado de criptografia do Microsoft Dynamics CRM
O certificado que você especificar no Configurar o Assistente de Autenticação Baseada em Declarações e usado pelo AD FS para criptografar tokens de segurança emitidos para o cliente Microsoft Dynamics CRM Server. A conta CRMAppPool de cada aplicativo da Web Microsoft Dynamics 365 deve ter permissões de leitura a chave privada do certificado de criptografia.
No Microsoft Dynamics 365 server, crie um Console de Gerenciamento Microsoft (MMC) com o console de snap-in Certificados que tem como destino o repositório de certificados Computador local.
Na árvore de console, expanda o nó Certificados (computador local), expanda a loja Pessoal e clique em Certificados.
No painel de detalhes, clique com o botão direito do mouse no certificado de criptografia especificado no Configurar o Assistente de Autenticação Baseada em Declarações, aponte para Todas as Tarefas e clique em Gerenciar Chaves Privadas.
Clique em Adicionar (ou selecione a conta de Serviço de Rede se for a conta usada durante a Instalação) adicione a conta CRMAppPool e conceda as permissões de Leitura.
Observação
É possível usar o Gerenciador do IIS para determinar qual conta foi usada durante a instalação para a conta CRMAppPool. No painel Conexões , clique em Pools de Aplicativos e marque o valor Identidade para CRMAppPool.
.jpeg "Pools de Aplicativos do IIS")
Clique em OK.
Configurar a autenticação baseada em declarações usando o Assistente de Configuração de Autenticação Baseada em Declarações
Execute o Configurar o Assistente de Autenticação Baseada em Declarações para habilitar a autenticação baseada em declarações no seu Microsoft Dynamics CRM Server.
No Microsoft Dynamics 365 server, inicie o Gerenciador de Implantação.
Na árvore de console do Gerenciador de Implantação clique com o botão direito do mouse em Microsoft Dynamics CRM, e clique em Configurar a Autenticação Baseada em Declarações.
Examine o conteúdo da página e clique em Avançar.
Na página Especifique o serviço do token de segurança, insira a URL de metadados de federação, como https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.
Esses dados costumam estar no site onde os Serviços de Federação do Active Directory estão sendo executados. Para verificar a URL correta, abra um navegador da Internet e exiba a URL dos metadados de federação. Verifique se não aparece nenhum aviso relacionado ao certificado.
Talvez seja necessário ativar a Exibição de Compatibilidade no Internet Explorer.
Clique em Avançar.
Na página Especifique o certificado de criptografia, especifique o certificado de criptografia de uma destas duas maneiras:
Na caixa Certificado, digite o nome comum completo (CN) do certificado usando o formato CN=certificado_assunto_nome.
Em Certificado, clique em Selecionar e selecione um certificado.
O certificado é usado pelo AD FS para criptografar os tokens de segurança de autenticação emitidos para o cliente Microsoft Dynamics 365.
Observação
A conta de serviço do Microsoft Dynamics 365 deve ter permissões de Leitura para a chave privada do certificado de criptografia. Para obter mais informações, consulte "A conta CRMAppPool e o certificado de criptografia do Microsoft Dynamics 365 acima.
Clique em Avançar.
O Configurar o Assistente de Autenticação Baseada em Declarações verifica o token e o certificado especificados por você.
Na página Verificações do Sistema, analise os resultados, execute as etapas necessárias para corrigir problemas e clique em Avançar.
Na página Revise as suas seleções e clique em Aplicar, verifique suas seleções e clique em Aplicar.
Anote a URL que você deve usar para adicionar a terceira parte confiável ao serviço do token de segurança. Exiba e salve o arquivo de log para referência futura.
Clique em Concluir.
Configurando a autenticação baseada em declarações usando o Windows PowerShell
No servidor do Microsoft Dynamics 365, abra um prompt do Windows PowerShell.
Adicione o snap-in do Microsoft Dynamics 365Windows PowerShell:
PS > Add-PSSnapin Microsoft.Crm.PowerShellObtenha as configurações da autenticação baseada em declarações:
PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"Configure o objeto de autenticação baseada em declarações:
PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URLOnde:
1 = "verdadeiro".
certificate_name é o nome do certificado de criptografia.
federation_metadata_URL é a URL dos metadados de federação referente ao serviço de token de segurança. (Por exemplo, https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.)
Defina os valores da autenticação baseada em declarações:
PS > Set-CrmSetting $claims
Definir permissões de leitura para a conta de ADFSAppPool
Se você estiver instalando o AD FS em um servidor separado, verifique se a conta usada para o pool de aplicativos ADFSAppPool tem permissões de Leitura. Consulte o tópico anterior "A conta CRMAppPool e o certificado de criptografia do Microsoft Dynamics 365” para as etapas do processo.
Confira Também
Implementar autenticação baseada em declarações: acesso interno
© 2016 Microsoft Corporation. Todos os direitos reservados. Direitos autorais