共用方式為

逐步解說:設定 Microsoft Azure (ACS 替代方法)

  • 發行項

 

發行︰ 2017年1月

適用於: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online

重要

此程序已被取代。 您應該使用逐步解說:設定 Microsoft Azure (SAS) 與 Dynamics 365 整合中所述的程序,使用 SAS,而不是 ACS。其他資訊:Azure 文件:服務匯流排驗證與授權

此逐步解說引導您設定 Microsoft Azure Active Directory 存取控制服務 (ACS) 簽發者、範圍,以及允許接聽應用程式讀取張貼至 Microsoft Azure 服務匯流排 的 Microsoft Dynamics 365 訊息。 此逐步解說適用於 Microsoft Dynamics 365 任何部署類型的整合。

注意

在 SDK 下載中提供的外掛程式註冊工具是基本情況下自動化 ACS 設定的建議方法。 如需使用工具設定 ACS 的指示,請參閱逐步解說:設定 Microsoft Azure (ACS) 與 Dynamics 365 整合

針對更進階的 Azure 管理入口網站 使用案例,請依照本主題中的指示進行。

做為此逐步解說的先決條件,如果您執行 Microsoft Dynamics 365 (內部部署或 IFD),請設定 Microsoft Dynamics 365 與 Microsoft Azure 整合。 如需詳細資訊,請參閱逐步解說:設定 Dynamics 365 與 Microsoft Azure 整合。Microsoft Dynamics 365 (線上) 會針對 Microsoft Azure 整合預先設定。

本主題內容

建立新服務命名空間

建立服務識別 (簽發者)

建立規則群組以及規則

設定範圍

建立新服務命名空間

如果您有想要使用的現有 ACS 服務命名空間,請繼續名為 建立服務識別 (簽發者) 的下一節。

警告

請勿使用 Microsoft Azure 入口網站以建立用於 Dynamics 365 的服務命名空間。 入口網站會建立 SAS 命名空間,但 Dynamics 365 需要 ACS 命名空間。

使用 PowerShell 命令建立新的服務命名空間

  1. 下載並安裝 Microsoft AzurePowerShell 模組。其他資訊:如何安裝和設定 Azure PowerShell

  2. 從 [開始] 功能表,開啟 Microsoft AzurePowerShell 程式並輸入下列命令。

    > Add-AzureAccount
> New-AzureSBNamespace –Name YOUR_NAMESPACE -Location "YOUR_LOCATION" -CreateACSNamespace $true

    注意

    AzurePowerShell 0.8.9 版或更新版本支援 New-AzureSBNamespace 命令的 –CreateACSNamespace 參數。 如果您安裝的 AzurePowerShell 版本不支援 –CreateACSNamespace 參數,請安裝最新版本。 若要查看您使用的 AzurePowerShell 版本,請輸入命令 Get-Module Azure。

    新版命令可能會支援 –NamespaceType 參數。 如果有的話,請使用 –NamespaceType Messaging

    在您輸入 Add-AzureAccount 後,會提示您提供 Azure 訂閱的登入認證。 使用適當的命名空間名稱來替代 YOUR_NAMESPACE 與適當的位置來替代 YOUR_LOCATION。 支援的位置為:Central USEast USEast US 2North Central USSouth Central USWest USNorth EuropeWest EuropeEast AsiaSoutheast AsiaBrazil SouthJapan EastJapan West

在您輸入這些命令之後,會建立命名空間,而且您應該會看到類似下列文字的輸出。

    Name                  : mynamespace
    Region                : Central US
    DefaultKey            : 1eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=
    Status                : Active
    CreatedAt             : 8/25/2014 3:36:47 PM
    AcsManagementEndpoint : https://mynamespace-sb.accesscontrol.windows.net/
    ServiceBusEndpoint    : https://mynamespace.servicebus.windows.net/
    ConnectionString      : Endpoint=sb://mynamespace.servicebus.windows.net/;SharedSecretIssuer=owner;SharedSecretValue=1
                            eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=

建立服務識別 (簽發者)

  1. 如果尚未這樣做,請移至 Microsoft Azure 管理入口網站 並登入。

  2. 在管理入口網站,按一下 [服務匯流排],然後在清單中選取現有命名空間。

  3. 按一下 [連線資訊]。

  4. 在表單底端,按一下 [開啟 ACS 管理入口網站]。

  5. 在 [服務設定] 下,選取 [服務識別],然後按一下 [新增]。

  6. 在 [新增服務識別] 頁面,輸入簽發者識別名稱。 這必須是 Microsoft Dynamics 365 設定所用相同的簽發者名稱。 您可以透過選擇 [設定] > [自訂] > [開發人員資源],在 Dynamics 365 Web 應用程式中尋找此簽發者名稱。

  7. 選取 [X.509 憑證] 的認證類型。

  8. 瀏覽至本機電腦上的憑證位置。 在 Dynamics 365 Web 應用程式的 [開發人員資源] 頁面,按一下 [下載憑證] 連結,取得憑證。

  9. 按一下 [儲存]。

如果您使用 Microsoft Dynamics 365 (線上) 並看到您從該伺服器取得的憑證已過期的指示,您可忽略此警告。

建立規則群組以及規則

為目標範圍建立規則,允許 Microsoft Dynamics 365 傳送或「張貼」至 Microsoft Azure 服務匯流排。 您可以設定 ACS 從 Microsoft Dynamics 365 輸入「組織」宣告對應至 Microsoft Azure 服務匯流排 輸出「傳送」宣告,達成這個目標。

首先,藉由執行下列步驟建立規則群組。

  1. 在 [信任關係] 下,選取 [規則群組]。

  2. 按一下 [新增]。

  3. 輸入規則群組的名稱,然後選取 [儲存]。

接著,新增宣告規則至規則群組。

  1. 在 [編輯規則群組] 頁面上,按一下 [新增]。

  2. 在頁面的 [If] 區段中,選取 [存取控制服務]。

  3. 對於輸入宣告類型,請選取 [輸入類型] 然後輸入 https://schemas.microsoft.com/xrm/2011/Claims/Organization

  4. 對於輸入宣告值,請選取 [輸入值],然後輸入 Microsoft Dynamics 365 組織的名稱。

    針對網際網路對向部署或內部部署,以小寫字母輸入期望組織唯一名稱。 在 Dynamics 365 Web 應用程式的 [開發人員資源] 頁面上,[組織唯一名稱] 旁邊找到此名稱。 若要瀏覽至 Dynamics 365 的該頁面,請按一下 [設定] > [自訂] > [開發人員資源]。

    對於 Microsoft Dynamics 365 (線上) 部署,指定 Web 服務 URL 的完整主機名稱部分。 例如,如果 URL 為 https://myorg.crm.dynamics.com/main.aspx,則主機名稱部分為 myorg.crm.dynamics.com。

  5. 在 [Then] 區段,對於輸出宣告類型,按一下 [選取類型],並從下拉式清單中選取 http://docs.oasis-open.org/wsfed/authorization/200706/claims/action 項目。

  6. 對於輸出宣告值,請選取 [輸入值],然後輸入輸出宣告的 Send 值。

  7. 新增規則描述 (選擇性)。 例如,您可以輸入:「允許 Contoso 組織傳送給 Microsoft Azure 服務匯流排」。

  8. 按一下 [儲存]。

設定範圍

下列步驟說明如何為 Microsoft Dynamics 365 一般模式張貼,設定 ACS 的 Microsoft Azure 服務匯流排 範圍。 定義範圍更限制服務命名空間的存取權。

  1. 在 [信任關係] 下,選取 [信賴憑證者信任],然後按一下 [新增]。

  2. 在 [新增信賴憑證者應用程式] 頁面,輸入信賴憑證者的顯示名稱。 例如,輸入 internal。 這個名稱是範圍名稱。

  3. 輸入您的 Microsoft Azure 服務端點領域 URI 及附加範圍名稱,例如,https://crmsdkdemo.servicebus.windows.net/internal

  4. 輸入傳回 URL,可與剛才輸入的領域 URI 值相同。

  5. 選取權杖格式 [SAML 2.0]。

  6. 您可選擇性地提高權杖存留期值。

  7. 確定已選取 [Windows Live ID] 身分識別提供者。

  8. 選取先前建立的規則群組名稱。 如果在您的規則旁邊的核取方塊為鬼影,請先清除目前勾選的核取方塊,然後選取您規則的核取方塊。

  9. 按一下 [儲存]。

重要

如果您使用同盟模式,程序類似於本逐步解說描述。 您可以新增簽發者,並建立 Uri 特定的範圍 (建議) 或新的基本範圍。 您需要設定 –sb 和非 –sb 範圍。 您也可能需要建立簽發者建立的權杖原則。

另請參閱

Microsoft Dynamics 365 Azure 擴充功能
逐步解說:設定 Dynamics 365 與 Microsoft Azure 整合
設定 Azure 與 Microsoft Dynamics 365 整合
ACS 管理入口網站

Microsoft Dynamics 365

© 2017 Microsoft. 著作權所有,並保留一切權利。 著作權