共用方式為


設定宣告型驗證

 

發行︰ 2017年1月

適用於: Dynamics 365 (on-premises)、Dynamics CRM 2016

宣告型安全性模型會擴充傳統驗證模型,以包括含使用者資訊的其他目錄來源。 這個識別身分同盟可讓不同來源 (例如,Active Directory Domain Services、透過網際網路的客戶或是業務夥伴) 的使用者使用 Microsoft Dynamics 365。

重要

Microsoft Dynamics 365網際網路對向部署 (IFD) 存取需要宣告型驗證。 然而,如果將 Microsoft Dynamics 365 部署在與所有 Microsoft Dynamics 365 使用者相同的網域,或是使用者位於受信任網域,則內部網路 Microsoft Dynamics 365 存取不需要宣告型驗證。

在您執行設定宣告型驗證精靈之前,必須可以使用 Security Token Service (STS) (如 Active Directory Federation Services (AD FS))。 如需 Active Directory Federation Services (AD FS) 的詳細資訊,請參閱身分識別和存取管理

設定宣告型驗證

  1. 啟動部署管理員。

  2. 將 [繫結類型] 設為 HTTPS,如下所示:

    • 在 [動作] 窗格中,按一下 [屬性]。

    • 按一下 [網址] 索引標籤。

    • 在 [繫結類型] 下,選取 [HTTPS]。

    • 按一下 [確定]。

    重要

    [繫結類型] 必須設為 HTTPS,才能使用宣告型驗證。

    確認繫結至 Microsoft Dynamics 365 網站的 TLS/SSL 憑證和 TLS/SSL 連接埠網址是否正確。

    如果是使用舊的繫結值來設定 Dynamics 365 for Outlook 用戶端,這些用戶端將必須設定為新的值。

  3. 用下列兩種方式之一開啟 [設定宣告型驗證精靈]:

    • 在 [動作] 窗格中,按一下 [設定宣告型驗證]。

    • 在部署管理員主控台樹狀結構中,以滑鼠右鍵按一下 [Microsoft Dynamics 365],然後按一下 [設定宣告型驗證]。

  4. 按 [下一步]。

  5. 在 [指定 Security Token Service] 頁面上,輸入 [同盟中繼資料 URL],例如 https://adfs.contoso.com/federationmetadata2007-06/federationmetadata.xml。

    此資料通常是位於執行 Active Directory Federation Services (AD FS) 的網站上。 若要確認 URL 是否正確,請使用該 URL 開啟網際網路瀏覽器,以便檢視同盟中繼資料。 確認不會出現憑證相關的警告。

  6. 按 [下一步]。

  7. 在 [指定加密憑證] 頁面上,以下列兩種方式之一指定加密憑證:

    • 在 [憑證] 方塊中,輸入憑證的名稱。 使用 CN=certificate_subject_name 的格式,輸入憑證的完整一般名稱 (CN)。

    • 在 [憑證] 之下,按一下 [選取],然後選取憑證。

    這個憑證用以加密傳送至 Active Directory Federation Services (AD FS) Security Token Service (STS) 的驗證安全性權杖。

    注意

    Microsoft Dynamics 365 服務帳戶必須具有加密憑證之私密金鑰的「讀取」權限。 請參閱下一節 CRMAppPool 帳戶和 Microsoft Dynamics CRM 加密憑證。

  8. 按一下 [Next]。

    [設定宣告型驗證精靈] 會驗證您指定的權杖與憑證。

  9. 在 [系統檢查] 頁面上,請檢閱結果,修復任何問題,然後按 [下一步]。

  10. 在 [檢閱您選取的項目,然後按一下 [套用]] 頁面上,確認您的選取項目,然後按一下 [套用]。

  11. 請記下您必須用來將信賴憑證者新增至安全性權杖服務的 URL。 檢視並儲存記錄檔供後續參考。

  12. 請注意在頁面上的資訊,然後按一下 [完成]。

  13. 設定宣告型驗證的信賴憑證者。

    重要

    您必須先在 STS 中建立信賴憑證者,宣告型驗證才能正常運作。 如需詳細資訊,請參閱針對宣告型驗證設定 AD FS 伺服器

CRMAppPool 帳戶和 Microsoft Dynamics CRM 加密憑證

自 Microsoft Dynamics 365 傳送到 Active Directory Federation Services (AD FS) 的宣告資料,是使用您透過設定宣告型驗證精靈指定的憑證來加密。 每個 Microsoft Dynamics 365 Web 應用程式的 CRMAppPool 帳戶,都必須擁有加密憑證的私密金鑰讀取權限。

  1. 在 Microsoft Dynamics 365 Server 上,利用 [憑證] 嵌入式管理單元主控台來建立以 [本機電腦] 憑證存放區為目標的 Microsoft Management Console (MMC)。

  2. 在主控台樹狀結構中,展開 [憑證] (本機電腦) 節點,展開 [個人] 存放區,然後按一下 [憑證]。

  3. 在詳細資料窗格中,以滑鼠右鍵按一下在 [設定宣告型驗證精靈] 中指定的加密憑證,指向 [所有工作],然後按一下 [管理私密金鑰]。

  4. 按一下 [新增] (或如果這是您在安裝期間使用的帳戶,則請選取網路服務帳戶),新增 CRMAppPool 帳戶,然後授與 [讀取] 權限。

    提示

    您可以使用 IIS 管理員來判斷在設定 CRMAppPool 帳戶時所使用的帳戶。 在 [連線] 窗格中,按一下 [應用程式集區],然後檢查 CRMAppPool 的 [身分識別] 值。

  5. 按一下 [ 確定]。

另請參閱

停用宣告型驗證
設定網際網路對向部署

© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權