Konfiguration des AD FS-Servers für IFD

  • Artikel

 

Veröffentlicht: Januar 2017

Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016

Wenn Sie IFD für Microsoft Dynamics 365 Server aktiviert haben, müssen Sie Relying Party Trusts für den IFD-Endpunkt auf dem AD FS-Server erstellen.

Konfigurieren der vertrauenden Seiten

  1. Starten Sie auf dem Computer mit Windows Server, auf dem der AD FS-Verbundserver installiert ist, AD FS Management.

  2. Erweitern Sie im NavigationsbereichVertrauensstellungen, und klicken Sie anschließend auf Vertrauensstellungen der vertrauenden Seite.

  3. Klicken Sie im Menü Aktionen in der rechten Spalte auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  4. Klicken Sie im Assistenten für das Hinzufügen einer Vertrauensstellung der vertrauenden Seite auf Start.

  5. Klicken Sie auf der Seite Datenquelle auswählen auf Online oder auf einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren, und geben Sie dann die URL für die Datei federationmetadata.xml ein.

    Die Verbundmetadaten werden während der IFD-Einrichtung erstellt, beispielsweise https://auth.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml.

    Geben Sie dies ein URL in Ihren Browser ei, und stellen Sie sicher, dass keine zertifikatbezogenen Warnungen angezeigt werden.

  6. Klicken Sie auf Weiter.

  7. Geben Sie auf der Seite Anzeigename angeben einen Anzeigenamen ein, zum Beispiel Dynamics 365 IFD Relying Party, und klicken Sie anschließend auf Weiter.

  8. Treffen Sie auf der Seite Jetzt mehrstufige Authentifizierung konfigurieren Ihre Auswahl, und klicken Sie auf Weiter.

  9. Klicken Sie auf der Seite Ausstellungs-Autorisierungsregeln wählen auf EAllen benutzern erlauben, auf diese vertrauende Seite zugreifen und dann auf Weiter.

  10. Prüfen Sie auf der Seite VBereit zum Hinzufügen der Vertrauensstellung auf der Registerkarte Kennungen, ob kennungen der vertrauenden Seite drei Kennungen wie die folgenden hat:

    Wenn Ihre Kennungen von obigem Beispiel abweichen, klicken Sie im Assistenten für das Hinzufügen einer Vertrauensstellung der vertrauenden Seite auf Zurück, und überprüfen Sie die Verbundmetadatenadresse.

  11. Klicken Sie auf Weiter und anschließend auf Schließen.

  12. Wenn der Regel-Editor angezeigt wird, klicken Sie auf Regel hinzufügen. Klicken Sie andernfalls in der Liste Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf das Objekt der vertrauenden Seite, das Sie erstellt haben, klicken Sie auf Anspruchsregeln bearbeiten und dann auf Regel hinzufügen.

    Wichtig

    Achten Sie darauf, dass die Registerkarte Ausstellungs-Transformationsregeln ausgewählt ist.

  13. Wählen Sie in der Liste der Anspruchsregelnvorlagen die Vorlage Eingehenden Anspruch durchleiten oder filtern, und klicken Sie auf Weiter.

  14. Erstellen Sie die folgende Regel:

    • Name der Anspruchsregel: Pass Through UPN (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Typ des eingehenden Anspruchs: UPN

      2. Alle Anspruchswerte durchleiten

  15. Klicken Sie auf Fertig stellen.

  16. Klicken Sie im Regel-Editor auf Regel hinzufügen, und wählen Sie in der Liste der Anspruchsregelnvorlagen die Vorlage Eingehenden Anspruch durchleiten oder filtern, und klicken Sie dann auf Weiter.

    • Name der Anspruchsregel: Pass Through Primary SID (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Typ des eingehenden Anspruchs: Primär-SID

      2. Alle Anspruchswerte durchleiten

  17. Klicken Sie auf Fertig stellen.

  18. Klicken Sie im Regel-Editor auf Regel hinzufügen,

  19. Wählen Sie in der Liste der Anspruchsregelnvorlagen die Vorlage Eingehenden Anspruch transformieren, und klicken Sie auf Weiter.

  20. Erstellen Sie die folgende Regel:

    • Name der Anspruchsregel: Transform Windows Account Name to Name (oder eine beschreibende Bezeichnung)

    • Fügen Sie die folgende Zuordnung hinzu:

      1. Typ des eingehenden Anspruchs: Windows-Kontoname

      2. Typ des ausgehenden Anspruchs: Name

      3. Alle Anspruchswerte durchleiten

  21. Klicken Sie auf Fertig stellen und klicken Sie nach der Erstellung aller drei Regeln auf OK, um den Regel-Editor zu schließen.

Für Windows Server 2016 führen Sie ein "cmdlet" aus

Wenn Ihr AD FS Server Windows Server 2016 ausführt, führen Sie folgendes Windows PowerShell cmdlet aus:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: die ClientId Ihres Adfsclient. Zum Beispiel: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: der Bezeichner der vertrauenden Seite. Zum Beispiel: https://adventureworkscycle3.crm.crmifd.com/

Weitere Informationen finden Sie unter Erteilen von AdfsApplicationPermission.

Siehe auch

Implementierung der anspruchsbasierten Authentifizierung: externer Zugriff

© 2017 Microsoft. Alle Rechte vorbehalten. Copyright