Konfigurere AD FS-serveren til kravsbaseret godkendelse
Udgivet: januar 2017
Gælder for: Dynamics 365 (on-premises), Dynamics CRM 2016
Når du har aktiveret kravsbaseret godkendelse, er næste trin at tilføje og konfigurere kravsprovideren og relying party-tillidsforhold i AD FS.
Konfigurere kravsproviderens tillidsforhold
Du skal tilføje en kravsregel for at hente attributten for brugerhovednavn (UPN) fra Active Directory og sende den til Microsoft Dynamics 365 som et UPN.
Konfigurere AD FS til at sende attributten UPN LDAP som et krav til en relying party:
På den server, der kører AD FS skal du starte AD FS Administration.
I navigationsruden skal du udvide Tillidsforhold og derefter klikke på Tillidsforhold til kravsprovider.
Under Tillidsforhold til kravsprovider, skal du højreklikke på Active Directory og derefter klikke på Rediger kravsregler.
Klik på Tilføj regel i Regeleditor.
Vælg skabelonen Send LDAP-attributter som krav på listen Skabelon for kravsregel, og klik derefter på Næste.
Opret følgende regel:
Navn på kravsregel: UPN-kravsregel (eller et beskrivende navn)
Tilføj følgende tilknytning:
Attributlager: Active Directory
LDAP-attribut: brugerens hovednavn
Udgående kravtype: UPN
Klik på Udfør, og klik derefter på OK for at lukke Regeleditor.
Konfigurere et relying party-tillidsforhold.
Når du har aktiveret kravsbaseret godkendelse, skal du konfigurere Microsoft Dynamics 365 Server som en relying party til forbrug af krav fra AD FS for godkendelse af intern kravsadgang.
På den server, der kører AD FS skal du starte AD FS Administration.
I navigationsruden skal du udvide Tillidsforhold og derefter klikke på Tillidsforhold til relying party.
Gå til menuen Handlinger, der er placeret i højre kolonne, og klik på Tilføj relying party-tillidsforhold.
I guiden Tilføj Relying Party-tillid skal du klikke på Start.
På siden Vælg datakilde skal du klikke på Importér data om en relying party publiceret online eller på et lokalt netværk. Skriv derefter URL-adressen for at finde filen federationmetadata.xml.
Disse samlingsmetadata oprettes under konfiguration af krav. Brug URL-adressen, der er anført på den sidste side af Guiden Konfigurer kravsbaseret godkendelse (før du klikker på Udfør), for eksempel https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Kontrollér, at der ikke vises nogen advarsler, der vedrører certifikatet.
Klik på Næste.
Skriv et vist navn på siden Angiv vist navn, f.eks. Relying Party til Dynamics 365-krav, og klik derefter på Næste.
Foretage dine valg på siden Konfigurer godkendelse af flere faktorer nu, og klik på Næste.
På siden Vælg regler for godkendelse af udstedelse skal du klikke på Giv alle brugere adgang til denne Relying Party og klik derefter på Næste.
På siden Klar til at tilføje tillid skal du på fanen Id'er kontrollere, at Relying part-id'er har et enkelt id som følgende:
Hvis dit id afviger fra ovenstående eksempel, skal du klikke på Forrige i guiden Tilføj Relying Party-tillid og kontrollere adressen for samlingsmetadata.
Klik på Næste, og klik derefter på Luk.
Hvis Regeleditor vises, skal du klikke på Tilføj regel. Ellers skal du højreklikke på det Relying Party-objekt, du har oprettet, på listen Relying Party-tillidsforhold. Klik derefter på Rediger kravsregler, og klik på Tilføj regel.
Vigtigt
Kontrollér, at fanen Transformer regler for udstedelse er valgt.
På listen Skabelon for kravsregel skal du vælge skabelonen Passér gennem eller filtrer et indgående krav. Klik derefter på Næste.
Opret følgende regel:
Navn på kravsregel: Passér gennem UPN (eller et beskrivende navn)
Tilføj følgende tilknytning:
Indgående kravtype: UPN
Passér gennem alle kravsværdier
Klik på Udfør.
I Regeleditor skal du klikke på Tilføj regel. På listen Skabelon for kravsregel skal du vælge skabelonen Passér gennem eller filtrer et indgående krav. Klik derefter på Næste.
Opret følgende regel:
Navn på kravsregel: Passér gennem primær SID (eller et beskrivende navn)
Tilføj følgende tilknytning:
Indgående kravtype: Primær SID
Passér gennem alle kravsværdier
Klik på Udfør.
Klik på Tilføj regel i Regeleditor.
På listen Skabelon for kravsregel skal du vælge skabelonen Transformér et indgående krav. Klik derefter på Næste.
Opret følgende regel:
Navn på kravsregel: Transformér navn på Windows-konto til navn (eller et beskrivende navn)
Tilføj følgende tilknytning:
Indgående kravstype: Windows-kontonavn
Udgående kravtype: Navn
Passér gennem alle kravsværdier
Klik på Udfør, og klik derefter på OK for at lukke Regeleditor, når du har oprettet alle tre regler.
.jpeg "Three claims rules")
Denne illustration viser de tre relying part-tillidsregler, du opretter.
Det relying part-tillidsforhold, du har oprettet, definerer, hvordan AD FS samlingstjenesten registrerer en relying party for Microsoft Dynamics 365 og sender krav til den.
Aktivere formulargodkendelse
Automatisk fejlrapportering er ikke som standard aktiveret i AD FS i Windows Server 2012 R2.
Log på AD FS-serveren som administrator.
Åbn AD FS-administrationskonsollen, og klik på Godkendelsespolitikker.
Under Primær godkendelse, Globale indstillinger, Godkendelsesmetoder skal du klikke på Rediger.
Under Intranet skal du aktivere (markere) Formulargodkendelse og derefter klikke på OK.
.jpeg "Enable forms authentication")
Køre en cmdlet for Windows Server 2016
Hvis din AD FS-server kører Windows Server 2016, ska du køre følgende Windows PowerShell-cmdlet:
Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>
ClientRoleIdentifier: ClientId'et for din Adfsclient. For eksempel: e8ab36af-d4be-4833-a38b-4d6cf1cfd525
ServerroleIdentified: id'et for din Relying Party. For eksempel: https://adventureworkscycle3.crm.crmifd.com/
Du kan finde flere oplysninger under Tildele AdfsApplicationPermission.
Se også
Implementere kravsbaseret godkendelse: intern adgang
© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret