Konfigurieren des Microsoft Dynamics 365-Servers für die anspruchsbasierte Authentifizierung
Veröffentlicht: Januar 2017
Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016
Wenn Sie AD FS installiert haben, müssen Sie den Microsoft Dynamics 365 Server-Bindungstyp und die Stammdomänen festlegen, bevor Sie die anspruchsbasierte Authentifizierung aktivieren.
In diesem Thema
Konfigurieren von Microsoft Dynamics 365-Serverbindungen auf HTTPS und der Webadressen der Stammdomäne
Das CRMAppPool-Konto und das Microsoft Dynamics CRM-Verschlüsselungszertifikat
Konfigurieren der anspruchsbasierten Authentifizierung mithilfe des Assistenten für die Konfiguration der anspruchsbasierten Authentifizierung
Konfigurieren der anspruchsbasierten Authentifizierung mithilfe von Windows PowerShell
Festlegen derLeserechte für das ADFSAppPool-Konto
Konfigurieren von Microsoft Dynamics 365-Serverbindungen auf HTTPS und der Webadressen der Stammdomäne
Starten Sie auf dem Microsoft Dynamics 365-Server den Bereitstellungs-Manager.
Klicken Sie im Bereich Aktionen auf Eigenschaften.
Klicken Sie auf die Registerkarte Internetadresse.
Wählen Sie unter Bindungstyp die Option HTTPS aus.
Überprüfen Sie, ob die Webadressen für das TLS/SSL-Zertifikat gültig sind und der TLS/SSL-Port an die Microsoft Dynamics 365-Website gebunden ist. Da Sie Microsoft Dynamics 365 Server für die Anspruchsauthentifizierung für den internen Zugriff konfigurieren, verwenden Sie den Hostnamen für Stammdomäneninternetadressen.
Beispiel: Für ein *.contoso.com-Platzhalterzertifikat wird internalcrm.contoso.com die Internetadressen verwendet.
Wenn Sie AD FS und Microsoft Dynamics 365 Server auf separaten Servern installieren, geben Sie nicht Port 443 für Webanwendungsserver, Organisationswebdienst oder Discovery Web Service an.
.jpeg "Configure the web address")
Klicken Sie auf OK.
Warnung
Falls Dynamics 365 für Outlook-Clients mithilfe der alten Bindungswerte konfiguriert wurden, müssen diese Clients mit den neuen Werten konfiguriert werden.
Das CRMAppPool-Konto und das Microsoft Dynamics CRM-Verschlüsselungszertifikat
Das Zertifikat, das Sie im Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren angeben, wird von AD FS verwendet, um die für den Microsoft Dynamics 365 Server-Client ausgegebenen Sicherheitstokens zu verschlüsseln. Das CRMAppPool-Konto jeder Microsoft Dynamics 365-Webanwendung muss über Leseberechtigungen für den privaten Schlüssel des Verschlüsselungszertifikats verfügen.
Erstellen Sie auf dem Microsoft Dynamics 365-Server eine Microsoft Management Console (MMC) mit der Snap-In-Konsole für Zertifikate, die als Ziel den Zertifikatspeicher des lokalen Computers verwendet.
Erweitern Sie in der Konsolenstruktur den Knoten Zertifikate (lokaler Computer), erweitern Sie den Speicher Persönlich, und klicken Sie anschließend auf Zertifikate.
Klicken Sie im Detailbereich mit der rechten Maustaste auf das in Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren angegebene Verschlüsselungszertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Private Schlüssel verwalten.
Klicken Sie auf Hinzufügen (oder wählen Sie das Netzwerkdienstkonto aus, falls Sie dieses Konto beim Setup verwendet haben), fügen Sie das CRMAppPool-Konto hinzu, und gewähren Sie anschließend Leseberechtigungen.
Hinweis
Sie können IIS-Manager verwenden, um zu ermitteln, welches Konto beim Setup für das CRMAppPool-Konto verwendet wurde. Klicken Sie im Bereich Verbindungen auf Anwendungspools, und überprüfen Sie den Wert Identität fürCRMAppPool.
.jpeg "IIS Application Pools")
Klicken Sie auf OK.
Konfigurieren der anspruchsbasierten Authentifizierung mithilfe des Assistenten für die Konfiguration der anspruchsbasierten Authentifizierung
Führen Sie den Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren aus, um die Anspruchsauthentifizierung auf dem Microsoft Dynamics 365 Server zu aktivieren.
Starten Sie auf dem Microsoft Dynamics 365-Server den Bereitstellungs-Manager.
Klicken Sie in der Bereitstellungs-Manager-Konsolenstruktur mit der rechten Maustaste auf Microsoft Dynamics 365, und klicken Sie dann auf Anspruchsbasierte Authentifizierung konfigurieren.
Überprüfen Sie frm Inhalt der Seite, und klicken Sie auf Weiter.
Geben Sie auf der Seite Geben Sie den Sicherheitstokendienst an die Verbundmetadaten-URL ein, z. B.https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.
Diese Daten befinden sich normalerweise auf der Website, auf der Active Directory Federation Services ausgeführt wird. Wenn Sie überprüfen möchten, ob Sie die richtige URL verwenden, öffnen Sie einen Internetbrowser, um die URL der Verbundmetadaten anzuzeigen. Vergewissern Sie sich, dass keine zertifikatbezogenen Warnungen angezeigt werden.
Möglicherweise müssen Sie zur Kompatibilitätsansicht in Internet Explorer zurückkehren.
Klicken Sie auf Weiter.
Geben Sie auf der Seite Geben Sie das Verschlüsselungszertifikat an das Verschlüsselungszertifikat auf eine der beiden folgenden Arten ein:
Geben Sie im Feld Zertifikat den Namen des Zertifikats ein. Geben Sie den vollständigen allgemeinen Namen (Common Name, CN) des Zertifikats im Format CN=Zertifikatantragstellername ein.
Klicken Sie unter Zertifikat auf Auswählen, und wählen Sie dann ein Zertifikat aus.
Dieses Zertifikat wird von AD FS verwendet, um die Authentifizierungssicherheitstokens, die an den Microsoft Dynamics 365-Client gesendet werden, zu verschlüsseln.
Hinweis
Das Microsoft Dynamics 365-Dienstkonto muss über Leseberechtigungen für den privaten Schlüssel des Verschlüsselungszertifikats verfügen. Weitere Informationen finden Sie unter "Das CRMAppPool-Konto und das Microsoft Dynamics 365-Verschlüsselungszertifikat" oben.
Klicken Sie auf Weiter.
Der Anspruchsbasierten Authentifizierungs-Assistenten konfigurieren überprüft das angegebene Token und Zertifikat.
Prüfen Sie auf der Seite Systemüberprüfungen die Ergebnisse, und führen Sie alle Schritte durch, die zum Beheben der Probleme erforderlich sind. Klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Überprüfen Sie die Auswahl, und klicken Sie dann auf "Übernehmen" Ihre Auswahl, und klicken Sie dann auf Übernehmen.
Beachten Sie die URL, die Sie zum Hinzufügen der vertrauenden Seite zum Sicherheitstokendienst verwenden müssen. Zeigen Sie die Protokolldatei an, und speichern Sie sie zu Referenzzwecken.
Klicken Sie auf Fertig stellen.
Konfigurieren der anspruchsbasierten Authentifizierung mithilfe von Windows PowerShell
Öffnen Sie auf dem Microsoft Dynamics 365-Server eine Windows PowerShell-Eingabeaufforderung.
Fügen Sie das Windows PowerShell-Snap-In von Microsoft Dynamics 365 hinzu:
PS > Add-PSSnapin Microsoft.Crm.PowerShellRufen Sie die Einstellungen für die anspruchsbasierte Authentifizierung ab:
PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"Konfigurieren Sie das Objekt für die anspruchsbasierte Authentifizierung:
PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URLWo:
1 = "true".
certificate_name ist der Name des Verschlüsselungszertifikats.
federation_metadata_URL ist die Verbundmetadaten-URL für den Sicherheitstokendienst. (Beispiel: https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.)
Legen Sie die Werte für die anspruchsbasierte Authentifizierung fest:
PS > Set-CrmSetting $claims
Festlegen derLeserechte für das ADFSAppPool-Konto
Wenn Sie AD FS auf einem separaten Server installieren, überprüfen Sie, ob das Konto, das für den ADFSAppPool-Anwendungspool verwendet wird, über Leseberechtigungen verfügt. Vgl. das vorangehende Thema "Das CRMAppPool-Konto und das Microsoft Dynamics 365-Verschlüsselungszertifikat" für die Prozess-Schritte.
Siehe auch
Implementierung der anspruchsbasierten Authentifizierung: interner Zugriff
© 2017 Microsoft. Alle Rechte vorbehalten. Copyright