Configuration du serveur AD FS pour l’authentification basée sur les revendications

  • Article

Après l’activation de l’authentification basée sur les revendications, l’étape suivante consiste à ajouter et à configurer le fournisseur de revendications et les approbations de la partie de confiance dans AD FS.

Configuration de l’approbation du fournisseur de revendications

Vous devez ajouter une règle de revendication pour récupérer l’attribut de nom d’utilisateur principal (UPN) d’Active Directory et l’envoyer à Dynamics 365 Customer Engagement (on-premises) comme UPN.

Configuration d’AD FS pour envoyer l’attribut UPN LDAP en tant que revendication à une partie de confiance

  1. Sur le serveur exécutant AD FS, démarrez Gestion AD FS.

  2. Dans le Volet de navigation, développez Relations d’approbation, puis sélectionnez Approbations du fournisseur de revendications.

  3. Sous Approbations du fournisseur de revendications, cliquez avec le bouton droit sur Active Directory, puis sélectionnez Modifier les règles de revendications.

  4. Dans l’éditeur de règles, sélectionnez Ajouter une règle.

  5. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Envoyer les attributs LDAP en tant que revendications, puis sélectionnez Suivant.

  6. Créez la règle suivante :

    • Nom de la règle de revendication : Règle de revendication UPN (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Magasin d’attributs : Active Directory

      2. Attribut LDAP : Nom principal de service

      3. Type de revendication sortante : UPN

  7. Sélectionnez Terminer, puis OK pour fermer l’éditeur de règles.

Configuration d’une approbation de partie de confiance

Après l’activation de l’authentification basée sur les revendications, vous devez configurer Dynamics 365 Server en tant que partie de confiance pour consommer les revendications AD FS pour authentifier l’accès interne aux revendications.

  1. Sur le serveur exécutant AD FS, démarrez Gestion AD FS.

  2. Dans le Volet de navigation, développez Relations d’approbation, puis sélectionnez Approbations des parties de confiance.

  3. Dans le menu Actions situé dans la colonne de droite, sélectionnez Ajouter l’approbation d’une partie de confiance.

  4. Dans l’Assistant Ajouter l’approbation d’une partie de confiance, sélectionnez Démarrer.

  5. Dans la page Sélectionner la source de données, sélectionnez Importez les données sur la partie de confiance possèdent en ligne ou sur un réseau local, puis tapez l’URL permettant de localiser le fichier federationmetadata.xml.

    Ces métadonnées de fédération sont créées pendant l’installation des revendications. Utilisez l’URL répertoriée sur la dernière page de l’Assistant Configurer l’authentification basée sur les revendications (avant de sélectionner Terminer), par exemple https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Vérifiez qu’aucun avertissement concernant le certificat n’apparaît.

  6. Sélectionnez Suivant.

  7. Dans la page Spécifier le nom complet, tapez un nom complet, tel que Partie de confiance des revendications Dynamics 365, puis cliquez sur Suivant.

  8. Dans la page Configurer l’authentification à plusieurs facteurs maintenant, faites votre sélection et sélectionnez Suivant.

  9. Dans la page Choisir les règles de délivrance des autorisations, sélectionnez Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis Suivant.

  10. Dans la page Prêt à ajouter l’approbation, sous l’onglet Identificateurs, vérifiez que l’option Identificateurs de partie de confiance a un identificateur unique, comme :

    Si votre identificateur est différent de l’exemple ci-dessus, sélectionnez Précédent dans Assistant Ajouter l’approbation d’une partie de confiance et activez l’adresse des métadonnées de fédération.

  11. Sélectionnez Suivant, puis sélectionnez Fermer.

  12. Si l’Éditeur de règles apparaît, sélectionnez Ajouter une règle. Sinon, dans la liste Approbations des parties de confiance, cliquez avec le bouton droit sur l’objet de partie de confiance créé, sélectionnez Modifier les règles de revendications, puis Ajouter une règle.

    Important

    Assurez-vous que l’onglet Règles de transformation d’émission est sélectionné.

  13. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer ou filtrer une revendication entrante et puis sélectionnez Suivant :

  14. Créez la règle suivante :

    • Nom de la règle de revendication : Transférer toutes les revendications UPN (ou une autre description)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrante : UPN

      2. Transférer toutes les valeurs des revendications

  15. Sélectionnez Terminer.

  16. Dans l’Éditeur de règles, sélectionnez Ajouter une règle, dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer ou filtrer une revendication entrante, puis sélectionnez Suivant.

  17. Créez la règle suivante :

    • Nom de la règle de revendication : Transférer les SID principaux (ou une autre description)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrante : SID principal

      2. Transférer toutes les valeurs des revendications

  18. Sélectionnez Terminer.

  19. Dans l’Éditeur de règles, sélectionnez Ajouter une règle.

  20. Dans la liste des modèles de règles de revendications, sélectionnez le modèle Transférer une revendication entrante et puis sélectionnez Suivant :

  21. Créez la règle suivante :

    • Nom de la règle de revendication : Transformer le Nom du compte Windows en Nom (ou descriptif plus précis)

    • Ajoutez le mappage suivant :

      1. Type de revendication entrant : Nom du compte Windows

      2. Type de revendication sortante : Nom

      3. Transférer toutes les valeurs des revendications

  22. Sélectionnez Terminer, puis lorsque vous avez créé les trois règles, sélectionnez OK pour fermer l’Éditeur de règles.

    Trois règles de revendications.

    Cette figure illustre les trois règles d’approbation de partie de confiance que vous créez.

L’approbation de partie de confiance créée définit la façon dont le service de fédération AD FS reconnaît la partie de confiance Dynamics 365 Customer Engagement (on-premises) et émet des revendications.

Activation de l’authentification par formulaire

Dans AD FS dans Windows Server 2012 R2, l’authentification par formulaire n’est pas activée par défaut.

  1. Connectez-vous au serveur AD FS en tant qu’administrateur.

  2. Ouvrez la console de gestion AD FS et sélectionnez Stratégies d’authentification.

  3. Sous Authentification principale, Paramètres globaux, Méthode d’authentification, sélectionnez Modifier.

  4. Sous Intranet, activez Authentification par formulaire, puis sélectionnez OK.

Activer l’authentification par formulaire.

Pour Windows Server 2016, exécutez un applet de commande

Si le serveur AD FS s’exécute dans Windows Server 2016, exécutez l’applet de commande Windows PowerShell suivante :

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier : ClientId de votre client Adfs. Par exemple : e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified : identificateur de votre partie de confiance. Par exemple : https://adventureworkscycle3.crm.crmifd.com/

Pour plus d’informations, voir Grant-AdfsApplicationPermission.

Voir aussi

Implémentation de l’authentification basée sur les revendications : accès interne