Delen via

De AD FS-server configureren voor op claims gebaseerde verificatie

  • Artikel

 

Gepubliceerd: januari 2017

Is van toepassing op: Dynamics 365 (on-premises), Dynamics CRM 2016

Na het inschakelen van op claims gebaseerde verificatie, is de volgende stap om de claimsprovider en de relying party trusts in AD FS toe te voegen en te configureren.

Configureer het claimsprovidervertrouwen

U moet een claimsnregel toevoegen om het kenmerk UPN (user principal names) te halen uit Active Directory en deze vervolgens te verzenden naar Microsoft Dynamics 365 als UPN.

U moet tevens AD FS configureren om het kenmerk UPN LDAP te verzenden als claim naar een relying party

  1. Start op de server die AD FS uitvoert AD FS Beheer.

  2. Vouw in het Navigatievenster, Vertrouwensrelaties uit, en klik vervolgens op Vertrouwensrelaties van claimsproviders.

  3. Onder De Vertrouwensrelaties van claimsprovider, klik met de rechtermuisknop op Active Directory, en klik vervolgens op Claimsregels bewerken.

  4. In de Regeleditor klikt u op Regel toevoegen.

  5. Selecteer in de lijst Claimregelsjabloon de sjabloon LDAP-kenmerken als claims verzenden en klik op Volgende.

  6. Maak de volgende regel:

    • Claimregelnaam: UPN-claimregel (of een beschrijvende naam)

    • Voeg de volgende toewijzing toe:

      1. Kenmerkarchief: Active Directory

      2. LDAP-kenmerkt: User Principal Name (UPN)

      3. Uitgaand claimtype: UPN

  7. Klik op Voltooien, en klik vervolgens op OK om de Regeleditor te sluiten.

Configureer relying party's trusts

Als u op claims gebaseerde verificatie hebt ingeschakeld, moet u Microsoft Dynamics 365 Server configureren als relying party van claims om AD FS te gebruiken voor het verifiëren van toegang via interne claims.

  1. Start op de server die AD FS uitvoert AD FS Beheer.

  2. Vouw in het Navigatievenster, Vertrouwensrelaties uit, en klik vervolgens op Relying Party Trusts.

  3. Klik in het menu Actions (Acties) in de rechterkolom op Add Relying Party Trust (Relying Party Trust toevoegen).

  4. Klik in de wizard Relying Party Trust toevoegen, op Start.

  5. Klik op de pagina Gegevensbron selecteren, op Gegevens importeren over relying party die online is gepubliceerd of op een lokaal netwerk, en typ vervolgens de URL om het federationmetadata.xml-bestand te zoeken.

    D federatieve metagegevens zijn gemaakt tijdens claimensetup. Gebruik de URL die wordt weergegeven op de laatste pagina van de Wizard Op claims gebaseerde verificatie configureren (voordat u op Voltooien klikt), bijvoorbeeld https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Controleer of er geen waarschuwingen in verband met certificaten worden weergegeven.

  6. Klik op Next.

  7. Typ op de pagina Weergavenaam opgeven een weergavenaam, zoals Dynamics 365 Claims Relying Party, en klik vervolgens op Volgende.

  8. Op de pagina Multifactorverificatie nu configureren, maak uw selectie en klik op Volgende.

  9. Op de pagina Selecteer de regels voor uitgifte-autorisatie, klik op Alle gebruikers toegang geven tot deze relying party, en klik vervolgens op Volgende.

  10. Op de pagina Gereed om Trust toe te voegen, op het tabblad Identificaties, controleer of Relying party-identificaties een enkele identificatie heeft zoals de volgende:

    Als uw identificatie verschilt ten opzichte van het bovenstaande voorbeeld, klikt u op Vorige in de wizard Voeg Relying Party Trust toe en bekijk het adres van de federatieve metagegevens.

  11. Klik op Volgende en vervolgens op Sluiten.

  12. Als de Regeleditor wordt weergegeven, klikt u op Regel toevoegen. Klik anders met de rechtermuisknop in de lijst Relying Party Trusts op het relaying party-object dat u hebt gemaakt, klik op Claimsregels bewerken en klik op Regel toevoegen.

    Belangrijk

    Zorg ervoor het tabblad Regels van de uitgiftetransformatie is geselecteerd.

  13. Klik in de lijst Claimregelsjabloon, selecteer de sjabloon Een binnenkomende claim passeren of filteren en klik op Volgende.

  14. Maak de volgende regel:

    • Claimregelnaam: UPN passeren (of een beschrijvende naam)

    • Voeg de volgende toewijzing toe:

      1. Binnenkomend claimtype: UPN

      2. Alle claimwaarden passeren

  15. Klik op Voltooien.

  16. Klik in de Regeleditor op Regel toevoegen, en selecteer in de lijst Claimregelsjaloon de sjabloon Een binnenkomende claim passeren of filteren en klik vervolgens op Volgende.

  17. Maak de volgende regel:

    • Claimregelnaam: UPN passeren via primaire SID (of een beschrijvende naam)

    • Voeg de volgende toewijzing toe:

      1. Binnenkomend claimtype: Primaire SID

      2. Alle claimwaarden passeren

  18. Klik op Voltooien.

  19. In de Regeleditor klikt u op Regel toevoegen.

  20. Selecteer in de lijst Claimregelsjabloon, de sjabloon Een binnenkomende claim transformeren en klik op Volgende.

  21. Maak de volgende regel:

    • Claimregelnaam: Windows-accountnaam transformeren in naam (of een beschrijvende naam)

    • Voeg de volgende toewijzing toe:

      1. Binnenkomend claimtype: Windows-accountnaam

      2. Uitgaand claimtype: Naam

      3. Alle claimwaarden passeren

  22. Klik op Voltooien en wanneer u alle drie de regels hebt gemaakt, klikt u op OK om de Regeleditor te sluiten.

    Three claims rules

    Deze weergave toont de drie regels voor de relying party trust die u maakt.

De relying party trust die u hebt gemaakt bepaalt hoe AD FS Federation Services de Microsoft Dynamics 365 en de relying party detecteert en er claims voor uitgeeft.

Formulierenverificatie inschakelen

In AD FS in Windows Server 2012 R2, is formulierenverificatie niet standaard ingeschakeld.

  1. Meld u bij de AD FS-server aan als beheerder.

  2. Open de AD FS-beheerconsole en klik op Authenticatiebeleid.

  3. Klik onder Primaire verificatie, Algemene instellingen, Verificatiemethoden op Bewerken.

  4. Schakel onder Intranet het selectievakje Formulierenverificatie in en klik vervolgens op OK.

Enable forms authentication

Voer een cmdlet uit voor Windows Server 2016

Als uw AD FS-server draait op Windows Server 2016, voert u de volgende Windows PowerShell-cmdlet uit:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: de ClientId van uw Adfsclient. Bijvoorbeeld: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: de id van uw relying party. Bijvoorbeeld: https://adventureworkscycle3.crm.crmifd.com/

Zie voor meer informatie Grant-AdfsApplicationPermission.

Zie ook

Op claims gebaseerde verificatie implementeren: interne toegang.

© 2017 Microsoft. Alle rechten voorbehouden. Auteursrecht