Dynamic CRM 2016 IFD配置(5)Claims-based认证-内部访问配置

 在安装并配置完ADFS 之后,我们需要在配置Claims-based认证主要分为以下内容:

1,配置CRM基于身份证明的验证

 

打开 Deployment Manager,在 Actions 面板, 点击 Properties.


点击 Web Address 页.在 Binding Type, 选择 HTTPS,确保网络地址对于绑定CRM站点的SSL证书和SSL端口有效。因为你为内部访问配置Claims-based认证,所以为根域地址使用主机名。端口号必须与IIS中CRM 站点设置的端口一致,例:对于*.crm.com通配符证书,你可以使用internalcrm.crm.com:447作为网络地址

左侧侧导航面板中,点击 Microsoft Dynamics CRM, 然后点击 Configure Claims-Based Authentication.

保持默认,点击下一步:

在 Specify the security token service 页, 输入Federation metadata URL, 例:https://adfs.crm.com/federationmetadata/2007-06/federationmetadata.xml

  选择一个证书,选择 *.crm.com,此证书是用来加密传到ADFS安全令牌服务的认证安全令牌,点击下一步:

 在 System Checks 页,若检验通过,点击 Next.

保持默认,点击应用:

点击view the log file记下如图URL,你将使用这个URL添加一个信赖方(relying party)到安全令牌服务。

2.配置AD FS 服务器基于声明的认证

在安装有 ADFS的服务器上, 打开 ADFS Management;展开 Trust Relationships, 然后点击 Claims Provider Trusts;在 Claims Provider Trusts下, 右击 Active Directory, 然后点击 Edit Claims Rules.

在 Rules 编辑器, 点击 Add Rule,


在 select rule template 列表, 选择 Send LDAP Attributes as Claims 模板, 然后点击Next.

创建以下规则,点击Finish:

关闭rules编辑器:

在左侧菜单,点击 Relying Party Trust,右击选择 Add Relying Party Trust

在 Select Data Source 页, 点击 Import data about the relying party published online or on a local network, 输入之前view the log file记下的URL,点击下一步

Specify Display Name 页, 输入一个显示的名称,例:CRM Claims Relying Party, 然后点击 Next.

 
 

 

保持默认,点击下一步:

选择 Permit all users to access this relying party ,然后点击 Next

保持默认,点击下一步:

点击Close关闭页面,打开Rule编辑器页面:


select rule template 列表, 选择 Pass Through or Filter an Incoming Claim 模板,然后点击 Next

 创建rule:Claim rule name: Pass Through UPN (或其他描述性名称);Incoming claim type: UPN;点击Finish完成创建

在 Rule编辑器, 点击 Add Rule, 在 select rule template 列表, 选择 Pass Through or Filter an Incoming Claim 模板, 然后点击 Next:

创建rule: Claim rule name: Pass Through Primary SID (或其他描述性名称);Incoming claim type: Primary SID;点击 Finish.

在 Rule编辑器, 点击 Add Rule在 select rule template 列表, 选择 Transform an Incoming Claim 模板, 然后点击 Next.
创建rule:Claim rule name: Transform Windows Account Name to Name (或其他描述性名称);

Incoming claim type: Windows account name;Outgoing claim type: Name;点击 Finish,

 创建好这三个rule后, 关闭Rule 编辑器

点击左侧Authenication Policies后点击右侧Global Setting的Edit

 

更改Intranet中的验证方式,点击完成:

然后重启IIS,打开Internet Explorer,输入之前CRM管理器中所更改的绑定地址,例:https://internalcrm.crm.com:447

成功打开CRM页面


 

原文地址:https://blog.csdn.net/sytiao/article/details/78333637

 

posted @ 2018-10-24 10:52  Winter.  阅读(551)  评论(0编辑  收藏  举报