Konfigurieren der anspruchsbasierten Authentifizierung

  • Artikel

Das anspruchsbasierte Sicherheitsmodell erweitert herkömmliche Authentifizierungsmodelle, indem andere Verzeichnisquellen einbezogen werden, die Informationen über Benutzer enthalten. Über diesen Identitätsverbund können Benutzer aus verschiedenen Quellen – wie Active Directory Domain Services, über das Internet zugreifende Kunden oder Geschäftspartner – Dynamics 365 Customer Engagement (on-premises) verwenden.

Wichtig

Anspruchsbasierte Authentifizierung ist erforderlich für den Zugriff auf die Bereitstellung mit Internetzugriff (IFD) von Dynamics 365 Customer Engagement (on-premises). Die anspruchsbasierte Authentifizierung ist jedoch für den Intranet Dynamics 365 Customer Engagement (on-premises)-Zugang nicht erforderlich, wenn Dynamics 365 Customer Engagement (on-premises) in derselben Domäne bereitgestellt ist, in der sich alle Dynamics 365 Customer Engagement (on-premises) Benutzer befinden, oder wenn sich die Benutzer in einer vertrauenswürdigen Domäne befinden.

Bevor Sie den Assistenten zum Konfigurieren der anspruchsbasierten Authentifizierung ausführen, muss ein Sicherheitstokendienst (STS) wie Active Directory-Verbunddienste (AD FS) verfügbar sein. Weitere Informationen zu Active Directory-Verbunddiensten (AD FS) finden Sie unter Identitäts- und Zugriffsverwaltung.

Konfigurieren der anspruchsbasierten Authentifizierung

  1. Starten Sie den Bereitstellungs-Manager.

  2. Legen Sie den Bindungstyp wie folgt auf HTTPS fest:

    • Klicken Sie im Bereich Aktionen auf Eigenschaften.

    • Klicken Sie auf die Registerkarte Internetadresse.

    • Wählen Sie unter Bindungstyp die Option HTTPS aus.

    • Klicken Sie auf OK.

    Wichtig

    Der Bindungstypmuss auf HTTPS festgelegt sein, um die anspruchsbasierte Authentifizierung zu verwenden.

    Überprüfen Sie, ob die Webadressen für das TLS/SSL-Zertifikat gültig sind und der TLS/SSL-Port an die Dynamics 365 Customer Engagement (on-premises)-Website gebunden ist.

    Falls Dynamics 365 for Outlook-Clients mithilfe der alten Bindungswerte konfiguriert wurden, müssen diese Clients mit den neuen Werten konfiguriert werden.

  3. Sie können anspruchsbasierte Authentifizierung auf zwei Arten konfigurieren:

    • Klicken Sie im Bereich Aktionen auf Anspruchsbasierte Authentifizierung konfigurieren.

    • In der Konsolenstruktur des Bereitstellungs-Managers klicken Sie mit der rechten Maustaste auf Dynamics 365 Customer Engagement (on-premises) und wählen Sie dann Anspruchsbasierte Authentifizierung konfigurieren aus.

  4. Wählen Sie Weiter.

  5. Geben Sie auf der Seite Geben Sie den Sicherheitstokendienst an die Verbundmetadaten-URL ein, z. B. https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

    Diese Daten befinden sich normalerweise auf der Website, auf Active Directory Verbunddienste (AD FS) ausgeführt wird. Wenn Sie überprüfen möchten, ob Sie die richtige URL verwenden, öffnen Sie mithilfe der URL einen Internetbrowser, um die Verbundmetadaten anzuzeigen. Vergewissern Sie sich, dass keine zertifikatbezogenen Warnungen angezeigt werden.

  6. Wählen Sie Weiter.

  7. Geben Sie auf der Seite Geben Sie das Verschlüsselungszertifikat an das Verschlüsselungszertifikat auf eine der beiden folgenden Arten ein:

    • Geben Sie im Feld Zertifikat den Namen des Zertifikats ein. Geben Sie den vollständigen allgemeinen Namen (Common Name, CN) des Zertifikats im Format CN=Zertifikatantragstellername ein.

    • Klicken Sie unter Zertifikat auf Auswählen, und wählen Sie dann ein Zertifikat aus.

    Dieses Zertifikat wird verwendet, um die Authentifizierungssicherheitstoken, die an den Sicherheitstokendienst (STS) der Active Directory Verbunddienste (AD FS) gesendet werden, zu verschlüsseln.

    Anmerkung

    Das Dynamics 365 Customer Engagement (on-premises)-Dienstkonto muss über Leseberechtigungen für den privaten Schlüssel des Verschlüsselungszertifikats verfügen. Siehe: Das CRMAppPool-Konto und das Microsoft Dynamics 365 Customer Engagement (on-premises)-Verschlüsselungszertifikat.

  8. Wählen Sie Weiter aus.

    Der Assistent zum Konfigurieren der anspruchsbasierten Authentifizierung überprüft das von Ihnen angegebene Token und Zertifikat.

  9. Prüfen Sie auf der Seite Systemüberprüfungen die Ergebnisse, beheben Sie alle Probleme, und klicken Sie dann auf Weiter.

  10. Überprüfen Sie auf der Seite Überprüfen Sie die Auswahl, und klicken Sie dann auf "Übernehmen" Ihre Auswahl, und klicken Sie dann auf Übernehmen.

  11. Beachten Sie die URL, die Sie zum Hinzufügen der vertrauenden Seite zum Sicherheitstokendienst verwenden müssen. Zeigen Sie die Protokolldatei an, und speichern Sie sie zu Referenzzwecken.

  12. Beachten Sie die Informationen auf der Seite, und klicken Sie anschließend auf Fertig stellen.

  13. Konfigurieren Sie die vertrauenden Seiten für die anspruchsbasierte Authentifizierung.

    Wichtig

    Die anspruchsbasierte Authentifizierung funktioniert erst, nachdem Sie die vertrauenden Seiten in STS konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren des AD FS-Servers für die anspruchsbasierte Authentifizierung.

Das CRMAppPool-Konto und das Microsoft Dynamics 365 Customer Engagement (on-premises)-Verschlüsselungszertifikat

Anspruchsdaten, die von Dynamics 365 Customer Engagement (on-premises) an Active Directory-Verbunddienste (AD FS) gesendet werden, werden mit einem Zertifikat verschlüsselt, das Sie im Assistenten zum Konfigurieren der anspruchsbasierten Authentifizierung angeben. Das CRMAppPool-Konto jeder Dynamics 365 Customer Engagement (on-premises)-Webanwendung muss über Leseberechtigungen für den privaten Schlüssel des Verschlüsselungszertifikats verfügen.

  1. Erstellen Sie auf dem Dynamics 365 Server eine Microsoft Management Console (MMC) mit der Snap-In-Konsole für Zertifikate, die als Ziel den Zertifikatspeicher des lokalen Computers verwendet.

  2. Erweitern Sie in der Konsolenstruktur den Knoten Zertifikate (lokaler Computer), erweitern Sie den Speicher Persönlich, und klicken Sie anschließend auf Zertifikate.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf das im Assistenten für die Konfiguration der anspruchsbasierten Authentifizierung angegebene Verschlüsselungszertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Private Schlüssel verwalten.

  4. Klicken Sie auf Hinzufügen (oder wählen Sie das Netzwerkdienstkonto aus, falls Sie dieses Konto beim Setup verwendet haben), fügen Sie das CRMAppPool-Konto hinzu, und gewähren Sie anschließend Leseberechtigungen.

    Tipp

    Sie können IIS-Manager verwenden, um zu ermitteln, welches Konto beim Setup für das CRMAppPool-Konto verwendet wurde. Klicken Sie im Bereich Verbindungen auf Anwendungspools, und überprüfen Sie den Wert Identität für CRMAppPool.

  5. Wählen Sie OK aus.

Siehe auch

Deaktivieren der anspruchsbasierten Authentifizierung
Konfigurieren einer Bereitstellung mit Internetzugriff