Configurar a autenticação baseada em declarações
O modelo de segurança baseado em declarações estende os modelos de autenticação tradicionais para incluir outras fontes de diretório que contêm informações sobre os usuários. Essa federação de identidades permite que usuários de diversas fontes — como os Serviços de Domínio do Active Directory, clientes pela internet ou parceiros comerciais — utilizem o Dynamics 365 Customer Engagement (on-premises).
Importante
A autenticação baseada em declarações é necessária para o acesso à IFD (implantação para a Internet) do Dynamics 365 Customer Engagement (on-premises). No entanto, a autenticação baseada em declarações não será necessária para fins de acesso ao Dynamics 365 Customer Engagement (on-premises) pela intranet se Dynamics 365 Customer Engagement (on-premises) for implantado no mesmo domínio em que todos os usuários do Dynamics 365 Customer Engagement (on-premises) estão localizados ou se os usuários estiverem localizados em um domínio confiável.
Antes de executar o Assistente de Configuração de Autenticação Baseada em Declarações, um STS (serviço de token de segurança), como o Serviços de Federação do Active Directory (AD FS), deve estar disponível. Para obter mais informações sobre os Serviços de Federação do Active Directory (AD FS), consulte Gerenciamento de Identidades e Acesso.
Configurar a autenticação baseada em declarações
Inicie o Gerenciador de Implantação.
Defina o Tipo de Associação como HTTPS, da seguinte maneira:
No painel Ações, selecione Propriedades.
Selecione a guia Endereço Web.
Em Tipo de Associação, selecione HTTPS.
Selecione OK.
Importante
O Tipo de Associaçãodeve ser definido como HTTPS para usar a autenticação baseada em declarações.
Verifique se os endereços Web são válidos para o seu certificado TLS/SSL e se a porta TLS/SSL está associada ao site do Dynamics 365 Customer Engagement (on-premises).
Se os clientes do Dynamics 365 for Outlook foram configurados utilizando valores de associação antigos, esses clientes terão que ser configurados com os novos valores.
Abra o Assistente de Configuração de Autenticação Baseada em Declarações de uma destas duas maneiras:
No painel Ações, selecione Configurar a Autenticação Baseada em Declarações.
Na árvore de console do Gerenciador de Implantação, clique com o botão direito do mouse em Dynamics 365 Customer Engagement (on-premises) e, depois, selecione Configurar a Autenticação Baseada em Declarações.
Selecione Avançar.
Na página Especifique um serviço de token de segurança, insira o URL de metadados da federação, como https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.
Esses dados costumam estar no site onde os Serviços de Federação do Active Directory (AD FS) estão em execução. Para verificar a URL correta, abra um navegador da internet usando a URL para exibir os metadados de federação. Verifique se não aparece nenhum aviso relacionado ao certificado.
Selecione Avançar.
Na página Especifique o certificado de criptografia, especifique o certificado de criptografia de uma destas duas maneiras:
Na caixa Certificado, digite o nome do certificado. Digite o CN (nome comum) completo do certificado usando o formato CN=nome_da_entidade_do_certificado.
Em Certificado, selecione Selecionar e selecione um certificado.
Esse certificado é usado para criptografar tokens de segurança de autenticação que são enviados para o serviço de token de segurança (STS) do Serviços de Federação do Active Directory (AD FS).
Observação
A conta de serviço do Dynamics 365 Customer Engagement (on-premises) deve ter permissões de Leitura para a chave privada do certificado de criptografia. Consulte A conta CRMAppPool e o certificado de criptografia do Microsoft Dynamics 365 Customer Engagement (on-premises).
Selecione Avançar
O Assistente de Configuração de Autenticação Baseada em Declarações verifica o token e o certificado que você especificou.
Na página Verificações do Sistema, analise os resultados, corrija os problemas e selecione Avançar.
Na página Analise suas seleções e clique em Aplicar, verifique suas seleções e selecione Aplicar.
Anote a URL que você deve usar para adicionar a terceira parte confiável ao serviço do token de segurança. Exiba e salve o arquivo de log para referência futura.
Anote as informações contidas na página e selecione Concluir.
Configure terceiras partes confiáveis para a autenticação baseada em declarações.
Importante
A autenticação baseada em declarações não funcionará até que você crie as terceiras partes confiáveis no STS. Para obter mais informações, consulte Configurar o servidor AD FS para autenticação baseada em declarações.
A conta CRMAppPool e o certificado de criptografia do Microsoft Dynamics 365 Customer Engagement (on-premises)
Os dados de declarações enviados do Dynamics 365 Customer Engagement (on-premises) para os Serviços de Federação do Active Directory (AD FS) são criptografados usando um certificado que você especifica no Assistente de Configuração de Autenticação Baseada em Declarações. A conta CRMAppPool de cada Dynamics 365 Customer Engagement (on-premises) deve ter permissões de leitura a chave privada do certificado de criptografia.
No Dynamics 365 Server, crie um Console de Gerenciamento Microsoft (MMC) com o console de snap-in Certificados que tem como destino o repositório de certificados do Computador local.
Na árvore de console, expanda o nó Certificados (Computador Local), expanda o repositório Pessoal e selecione Certificados.
No painel de detalhes, clique com o botão direito do mouse no certificado de criptografia especificado no Assistente de Configuração de Autenticação Baseada em Declarações, aponte para Todas as Tarefas e selecione Gerenciar Chaves Privadas.
Selecione Adicionar, (ou selecione a conta de Serviço de Rede se for a conta usada durante a Instalação) adicione a conta CRMAppPool e conceda permissões de Leitura.
Gorjeta
É possível usar o Gerenciador do IIS para determinar qual conta foi usada durante a instalação para a conta CRMAppPool. No painel Conexões, selecione Pools de Aplicativos e marque o valor Identidade para CRMAppPool.
Selecione OK.
Consulte também
Desabilitar a autenticação baseada em declarações
Configurar uma implantação para a Internet