Configuration de Microsoft Dynamics CRM en local pour l'authentification avec Microsoft Azure

Ce guide pas-à-pas vous montre comment configurer Microsoft Dynamics CRM 2015, en local et dans le cadre d'un déploiement avec accès via Internet (IFD), pour une utilisation avec Microsoft Azure. Si vous utilisez Microsoft Dynamics CRM Online, ignorez ce guide pas-à-pas et passez directement à la rubrique Installer le connecteur marketing pour la solution Microsoft Dynamics CRM (en ligne et local).

  • Certificat provenant d'une autorité émettrice.

  • Accès à un compte d'utilisateur avec le rôle Administrateur système sur le serveur .

Cette section explique les procédures permettant d'importer un certificat dans le magasin de certificats du serveur Microsoft Dynamics CRM 2015 (en local), de définir l'accès en lecture au certificat de sorte que le service asynchrone puisse y accéder et d'installer le certificat dans la base de données MSCRM_Config. Le certificat permet de s'authentifier avec Bus des services Microsoft Azure en toute sécurité.

  1. Installez le certificat dans le magasin de certificats du serveur exécutant le service asynchrone Microsoft Dynamics CRM.

    Vous pouvez effectuer cette opération à partir du compte d'administrateur système via Microsoft Management Console (MMC). Exécutez MMC puis, à partir du menu Fichier, ajoutez le composant logiciel enfichable Certificats. Sous le menu Action, sélectionnez Toutes les tâches, puis Importer. Importez le certificat dans votre magasin Personnel/Certificats.

  2. Générez un fichier de clé publique au format Base64 à partir du certificat.

    Pour ce faire, cliquez avec le bouton droit sur le certificat dans la liste Personnel/Certificats puis, dans le menu contextuel, sous Toutes les tâches, sélectionnez Exporter.

Le compte d'utilisateur système sous lequel s'exécute le service asynchrone Microsoft Dynamics CRM doit disposer d'un accès en lecture à votre certificat dans le magasin de certificats. Est utilisé soit un compte d'utilisateur identifié par l'administrateur de déploiement lors de la configuration du serveur, soit NetworkService. Pour savoir quel compte est utilisé, exécutez l'outil d'administration Service. Dans cet outil, recherchez le service intitulé « Microsoft Dynamics CRM Asynchronous Processing Service » et vérifiez sous quel compte le service s'exécute.

Vous devez octroyer au compte susmentionné un accès en lecture à votre certificat dans le magasin de certificats. Pour cela, vous pouvez définir une liste ACL sur le certificat en utilisant le composant logiciel enfichable Certificats de la console MMC ou en tapant la commande suivante.

winhttpcertcfg -g -c <certLocation> -s <subjectStr> -a <accountName>

Remplacez les valeurs des paramètres <> de cette commande, décrites dans le tableau suivant, par les valeurs correctes.

 

<certLocation>

Emplacement (chemin d'accès) du certificat dans le magasin de certificats. Utilisez le composant logiciel enfichable Certificats de la console MMC pour rechercher le certificat.

<subjectStr>

Valeur du champ Sujet du certificat. Vous pouvez obtenir cette valeur en double-cliquant sur le fichier de clé de certificat public (.cer) dans l'Explorateur Windows. Sous l'onglet Détails de la boîte de dialogue Certificat, recherchez la valeur du champ Sujet.

<accountName>

Nom du compte auquel l'accès en lecture doit être octroyé. Pour une installation Microsoft Dynamics CRM par défaut, le nom du compte est « NetworkService ».

Pour configurer la base de données Microsoft Dynamics CRM, exécutez les procédures suivantes.

  1. Connectez-vous au compte administrateur sur votre serveur Microsoft Dynamics CRM.

  2. Dans une fenêtre de commande Windows PowerShell, entrez la commande suivante.

    Add-PSSnapin Microsoft.Crm.PowerShell
    

    Cette commande ajoute le composant logiciel enfichable CRM Windows PowerShell à la session active. Le composant logiciel enfichable est inscrit pendant l'installation et la configuration du serveur CRM.

  1. Entrez la commande suivante dans la fenêtre Windows PowerShell.

    
    Set-CrmCertificate –CertificateType AppFabricIssuer –Name <issuerName> -StoreName My –StoreLocation LocalMachine -StoreFindType FindBySubjectDistinguishedName –DataFile <certificateFilename>
    

    Dans cette commande, vous pouvez attribuer n'importe quel nom d'émetteur dans le paramètre<issuerName>. Cependant, vous devrez utiliser ce même nom lors de la configuration de Service de contrôle d'accès (ACS) de Microsoft Azure Active Directory. La valeur du paramètre DataFile correspond au nom de fichier ou au chemin d'accès du fichier de clé de certificat public.

  2. Affichez la liste des certificats installés dans la base de données MSCRM_CONFIG. Le certificat que vous venez d'ajouter doit y figurer.

    Get-CrmCertificate
    

Pour que Microsoft Dynamics CRM 2015 fonctionne avec Bus des services Microsoft Azure, le service asynchrone Microsoft Dynamics CRM doit avoir accès à Internet via le pare-feu du serveur. Le serveur sur lequel le rôle Service asynchrone est installé doit être exposé à Internet, et le compte sous lequel s'exécute le service doit avoir accès à Internet. Seules les connexions sortantes sur les ports 80 et 443 sont requises. L'accès aux connexions entrantes n'est pas obligatoire. Utilisez le panneau de configuration du pare-feu Windows pour activer les plug-ins de sortie pour

  • l'application CrmAsyncService.exe située sur le serveur dans le dossier %PROGRAMFILES%\Microsoft Dynamics CRM\Server\bin.

  • l'application Microsoft.Dynamics.Marketing.DataIntegrationService.exe située sur le serveur dans le dossier %ProgramFiles(x86)%\Microsoft Dynamics Marketing\CRMConnectorService.

Pour plus d'informations sur la configuration du pare-feu pour Microsoft Dynamics CRM, voir Conditions de connectivité et du port de pare-feu pour Microsoft Dynamics CRM 2013.

Les URL suivantes doivent être exposées à Internet pour les ports de haut niveau et les protocoles TCP, http et https pour activer la connexion entre Dynamics CRM asynchrone et les services d'intégration de données :

 

URL Commentaire

*.accesscontrol.windows.net/* et *.servicebus.windows.net/*

La connexion est utilisée pour fournir un tunnel de communication entre les deux composants système pour permettre le flux de données.

*.login.live.com/*

Le connecteur doit être enregitré sur le site Windows Live ID.

http://cdp1.public-trust.com/CRL/Omniroot2025.crl

CRM doit vérifier que la connexion n'est pas ciblée par des attaques dites de l'intercepteur. Pour cette vérification de sécurité on utilise un certificat différent. Le certificat émanant de l'équipe Windows Azure porte le nom d'émetteur Microsoft CA et doit passer l'examen de validation de Azure. CRM envoie une demande de contrôle de révocation à la liste Certificate Revocation List from Baltimore Trust (Microsoft CA est une filiale de Baltimore Trust).

Envoyez des commentaires à Microsoft à propos de cette rubrique.
© 2015 Microsoft. Tous droits réservés.
Afficher: