針對宣告型驗證設定 Microsoft Dynamics CRM 伺服器

發行︰ 2016年11月

適用於： Dynamics CRM 2015

安裝 AD FS之後，您必須先設定 Microsoft Dynamics CRM Server 繫結類型和根網域，才能啟用宣告型驗證

本主題內容

將 Microsoft Dynamics CRM Server 繫結設定為 HTTPS，並設定根網域網址

CRMAppPool 帳戶和 Microsoft Dynamics CRM 加密憑證

使用設定宣告型驗證精靈設定宣告型驗證

使用 Windows PowerShell 設定宣告型驗證

設定 ADFSAppPool 帳戶的讀取權限

將 Microsoft Dynamics CRM Server 繫結設定為 HTTPS，並設定根網域網址

1. 在 Microsoft Dynamics 365 伺服器上啟動部署管理員。

2. 在 [動作] 窗格中，按一下 [屬性]。

3. 按一下 [網址] 索引標籤。

4. 在 [繫結類型] 下，選取 [HTTPS]。

5. 確認繫結至 Microsoft Dynamics 365 網站的 SSL 憑證和 SSL 連接埠網址是否正確。 因此您要將 Microsoft Dynamics CRM Server 設定為使用內部存取的宣告驗證，請在根網域網址中使用主機名稱。

   例如，對於 *.contoso.com 萬用字元憑證，您可以將 internalcrm.contoso.com 用於網址。

   如果您將 AD FS 和 Microsoft Dynamics CRM Server 安裝在不同的伺服器，就不要為 Web 應用程式伺服器、組織 Web 服務 或 Discovery Web Service 指定連接埠 443。

   

6. 按一下 [確定]。

   警告

   如果是使用舊的繫結值來設定 Dynamics CRM for Outlook 用戶端，這些用戶端將必須設定為新的值。

CRMAppPool 帳戶和 Microsoft Dynamics CRM 加密憑證

AD FS 會使用您在 [設定宣告型驗證精靈] 中指定的憑證來加密發行至 Microsoft Dynamics CRM Server 用戶端的安全性權杖。 每個 Microsoft Dynamics 365 Web 應用程式的 CRMAppPool 帳戶，都必須擁有加密憑證的私密金鑰讀取權限。

1. 在 Microsoft Dynamics 365 伺服器上，利用 [憑證] 嵌入式管理單元主控台來建立以 [本機電腦] 憑證存放區為目標的 Microsoft Management Console (MMC)。

2. 在主控台樹狀結構中，展開 [憑證 (本機電腦)] 節點，展開 [個人] 存放區，然後按一下 [憑證]。

3. 在詳細資料窗格中，以滑鼠右鍵按一下在 [設定宣告型驗證精靈] 中指定的加密憑證，指向 [所有工作]，然後按一下 [管理私密金鑰]。

4. 按一下 [新增] (如果這是您在安裝期間使用的帳戶，請選取網路服務帳戶)，新增 CRMAppPool 帳戶，然後授與 [讀取] 權限。

   提示

   您可以使用 IIS 管理員來判斷在設定 CRMAppPool 帳戶時所使用的帳戶。 在 [連線] 窗格中，按一下 [應用程式集區]，然後檢查 CRMAppPool 的 [身分識別] 值。

   

5. 按一下 [確定]。

使用設定宣告型驗證精靈設定宣告型驗證

執行 [設定宣告型驗證精靈] 以啟用 Microsoft Dynamics CRM Server上的宣告驗證。

1. 在 Microsoft Dynamics 365 伺服器上啟動部署管理員。

2. 在部署管理員主控台樹狀結構中，以滑鼠右鍵按一下 [Microsoft Dynamics CRM]，然後按一下 [設定宣告型驗證]。

3. 檢閱頁面內容，並按一下 [下一步]。

4. 在 [指定 Security Token Service] 頁面上，輸入同盟中繼資料 URL，例如 https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml。

   此資料通常位於執行 Active Directory Federation Services 的網站上。 若要確認 URL 是否正確，請開啟網際網路瀏覽器，並檢視同盟中繼資料 URL。 確認不會出現憑證相關的警告。

   您可能需要開啟 Internet Explorer 中的 [相容性檢視]。

5. 按一下 [Next]。

6. 在 [指定加密憑證] 頁面上，以下列兩種方式之一指定加密憑證：

   • 在 [憑證] 方塊中，使用 CN=certificate_subject_name 的格式，輸入憑證的完整公用名稱 (CN)。

   • 在 [憑證] 之下，按一下 [選取]，然後選取憑證。

   AD FS 會使用此憑證來加密發行至 Microsoft Dynamics 365 用戶端的驗證安全性權杖。

   提示

   Microsoft Dynamics 365 服務帳戶必須具有加密憑證之私密金鑰的「讀取」權限。 如需詳細資訊，請參閱上述＜CRMAppPool 帳戶和 Microsoft Dynamics 365 加密憑證＞。

7. 按一下 [Next]。

   [設定宣告型驗證精靈] 會驗證您指定的權杖與憑證。

8. 在 [系統檢查] 頁面上，請檢閱結果，執行修復問題所需的任何步驟，然後按 [下一步]。

9. 在 [檢閱您選取的項目，然後按一下 [套用]] 頁面上，確認您的選取項目，然後按一下 [套用]。

10. 請記下您必須用來將信賴憑證者新增至安全性權杖服務的 URL。 檢視並儲存記錄檔供後續參考。

11. 按一下 [完成]。

使用 Windows PowerShell 設定宣告型驗證

1. 在 Microsoft Dynamics 365 伺服器上，開啟 Windows PowerShell 提示。

2. 新增 Microsoft Dynamics 365Windows PowerShell 嵌入式管理單元：

   PS > Add-PSSnapin Microsoft.Crm.PowerShell 
   

3. 取得宣告型驗證設定：

   PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings" 
   

4. 設定宣告型驗證物件：

   PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL
   

   其中：

   • 1 = "true"。

   • certificate_name 是加密憑證的名稱。

   • federation_metadata_URL 是 Security Token Service 的同盟中繼資料 URL。 (例如，https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml)。

5. 設定宣告型驗證值：

   PS > Set-CrmSetting $claims
   

設定 ADFSAppPool 帳戶的讀取權限

如果您要將 AD FS 安裝在不同的伺服器上，請確認用於 ADFSAppPool 應用程式集區的帳戶擁有 [讀取] 權限。 請參閱之前的主題＜CRMAppPool 帳戶和 Microsoft Dynamics 365 加密憑證＞以了解處理步驟。

另請參閱

實作宣告型驗證：內部存取

© 2016 Microsoft Corporation. 著作權所有，並保留一切權利。 著作權