針對宣告型驗證設定 AD FS 伺服器
發行︰ 2017年1月
適用於: Dynamics 365 (on-premises)、Dynamics CRM 2016
啟用宣告型驗證之後,下一個步驟是在 AD FS 中新增和設定宣告提供者與信賴憑證者信任。
設定宣告提供者受信任
您需要新增宣告規則,以便從 Active Directory 擷取使用者主體名稱 (UPN) 屬性,並傳送給 Microsoft Dynamics 365 做為 UPN。
設定 AD FS,將 UPN LDAP 屬性當做宣告傳送給信賴憑證者
在執行 AD FS 的伺服器上啟動 AD FS 管理。
在 [導覽窗格] 中,展開 [信任關係],然後按一下 [宣告提供者信任]。
在 [宣告提供者信任] 底下,以滑鼠右鍵按一下 [Active Directory],然後按一下 [編輯宣告規則]。
在 [規則編輯器] 中,按一下 [新增規則]。
在 [宣告規則範本] 清單中,選取 [傳送 LDAP 屬性為宣告] 範本,然後按一下 [下一步]。
建立下列規則:
宣告規則名稱:UPN 宣告規則 (或具描述性的名稱)
新增下列對應:
屬性存放區:[Active Directory]
LDAP 屬性:使用者主體名稱
連出宣告類型:[UPN]
按一下 [完成],然後按一下 [確定] 關閉規則編輯器。
設定信賴憑證者信任
啟用宣告型驗證之後,您必須將 Microsoft Dynamics 365 Server 設定為信賴憑證者,以便取用 AD FS 的宣告來驗證內部宣告存取。
在執行 AD FS 的伺服器上啟動 AD FS 管理。
在 [導覽窗格] 中,展開 [信任關係],然後按一下 [信賴憑證者信任]。
在右方欄的 [動作] 功能表中,按一下 [新增信賴憑證者信任]。
在 [新增信賴憑證者信任精靈] 中,按一下 [啟動]。
在 [選取資料來源] 頁面上,按一下 [匯入相關資料連線發行之信賴憑證者或是一個本機網路],然後輸入 URL 以尋找 federationmetadata.xml 檔案。
此同盟中繼資料是在宣告安裝期間建立的。 使用上一個設定宣告型驗證精靈頁面 (在您按一下 [完成] 之前) 列出的 URL,例如 https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml。 確認不會出現憑證相關的警告。
按一下 [Next]。
在 [指定顯示名稱] 頁面上輸入顯示名稱 (例如 Dynamics 365 宣告信賴憑證者),然後按一下 [下一步]。
在 [立即設定多因素驗證] 頁面上進行選擇,並按一下 [下一步]。
在 [選擇發行授權規則] 頁面上,按一下 [允許所有使用者存取此信賴憑證者],然後按一下 [下一步]。
在 [準備新增信任] 頁面的 [識別碼] 索引標籤上,確認 [信賴憑證者識別碼] 具有類似下列的單一識別碼:
如果您的識別碼與上述範例不同,請按一下 [新增信賴憑證者信任精靈] 中的 [上一步],並檢查同盟中繼資料位址。
按一下 [下一步],然後按一下 [關閉]。
如果出現規則編輯器,請按一下 [新增規則]。 否則在 [信賴憑證者信任] 清單中,以滑鼠右鍵按一下您建立的信賴憑證者物件,按一下 [編輯宣告規則],然後按一下 [新增規則]。
重要
確定已選取 [發行轉換規則] 索引標籤。
在 [宣告規則範本] 清單中,選取 [傳遞或篩選連入宣告] 範本,然後按 [下一步]。
建立下列規則:
宣告規則名稱:傳遞 UPN (或具描述性的名稱)
新增下列對應:
連入宣告類型:[UPN]
傳遞所有宣告值
按一下 [完成]。
在 [規則編輯器] 中按一下 [新增規則],並在 [宣告規則範本] 清單中選取 [傳遞或篩選連入宣告] 範本,然後按 [下一步]。
建立下列規則:
宣告規則名稱:傳遞主要 SID (或具描述性的名稱)
新增下列對應:
連入宣告類型:[主要 SID]
傳遞所有宣告值
按一下 [完成]。
在 [規則編輯器] 中,按一下 [新增規則]。
在 [宣告規則範本] 清單中,選取 [轉換連入宣告] 範本,然後按 [下一步]。
建立下列規則:
宣告規則名稱:轉換 Windows 帳戶名稱 (或具描述性的名稱)
新增下列對應:
連入宣告類型:[Windows 帳戶名稱]
連出宣告類型:名稱
傳遞所有宣告值
按一下 [完成],當您建立好全部的 3 個規則後,按一下 [確定] 關閉規則編輯器。
本圖顯示您建立的三個信賴憑證者信任規則。
您建立的信賴憑證者信任會定義 AD FS Federation Service 如何辨識 Microsoft Dynamics 365 信賴憑證者,並發行宣告給它。
啟用表單驗證
在 Windows Server 2012 R2 的 AD FS 中,預設不啟用表單驗證。
以系統管理員的身分登入 AD FS。
開啟 AD FS 管理主控台,並按一下 [驗證原則]。
在 [主要驗證]、[全域設定]、[驗證方法] 底下,按一下 [編輯]。
在 [內部網路] 底下,啟用 (核取) [表單型驗證],然後按一下 [確定]。
若是 Windows Server 2016,執行 Cmdlet
如果您的 AD FS 伺服器執行 Windows Server 2016,請執行下列 Windows PowerShell Cmdlet:
Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>
ClientRoleIdentifier:您的 Adfsclient 的 ClientId 例如:e8ab36af-d4be-4833-a38b-4d6cf1cfd525
ServerroleIdentified:您的信賴憑證者的識別碼。 例如:https://adventureworkscycle3.crm.crmifd.com/
如需詳細資訊,請參閱 Grant-AdfsApplicationPermission。
另請參閱
© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權