Configurer Microsoft Dynamics 365 Server pour l'authentification basée sur les revendications

Après avoir installé AD FS, vous devez définir le type de liaison Dynamics 365 Server et les domaines racines avant de pouvoir activer l'authentification basée sur les revendications.

Définir la liaison de Microsoft Dynamics 365 Server sur HTTPS et configurer les adresses Web de domaine racine

1. Sur le serveur Dynamics 365 for Customer Engagement, démarrez Gestionnaire de déploiement.

2. Dans le volet Actions, sélectionnez Propriétés.

3. Sélectionnez l'onglet Adresse Web.

4. Sous Type de liaison, sélectionnez HTTPS.

5. Vérifiez que les adresses Web sont valides pour votre certificat TLS/SSL et que le port TLS/SSL est lié au site Web Dynamics 365 for Customer Engagement. Comme vous configurez Dynamics 365 Server pour utiliser l'authentification basée sur les revendications pour l'accès interne, utilisez le nom d'hôte pour les adresses Web de domaine racine.

   Par exemple, pour un certificat générique *.contoso.com, vous utiliseriez internalcrm.contoso.com pour les adresses Web.

   Si vous installez AD FS et Dynamics 365 Server sur des serveurs distincts, ne spécifiez pas le port 443 pour Serveur d'application Web, Service Web d'organisation ou Service Web de découverte.

   

6. Cliquez sur OK.

   Warnung

   Si les clients Dynamics 365 for Outlook ont été configurés à l'aide d'anciennes valeurs de liaison, ils doivent être reconfigurés avec les nouvelles valeurs.

Compte CRMAppPool et certificat de chiffrement Microsoft Dynamics CRM

Le certificat que vous spécifiez dans Configuration de l'Assistant Authentification basée sur les revendications est utilisé par AD FS pour chiffrer les jetons de sécurité émis au client Dynamics 365 Server. Le compte CRMAppPool de chaque application Web Dynamics 365 for Customer Engagement doit disposer de l'autorisation de lecture sur la clé privée du certificat de chiffrement.

1. Dans le Dynamics 365 for Customer Engagement, créez une Microsoft Management Console (MMC) dotée de la console de logiciel enfichable Certificats qui cible le magasin de certificats de l'ordinateur local.

2. Dans l’arborescence de la console, développez le nœud Certificats (ordinateur local), développez le magasin Personnel, puis sélectionnez Certificats.

3. Dans le volet de détails, cliquez avec le bouton droit sur le certificat de chiffrement spécifié dans Configuration de l'Assistant Authentification basée sur les revendications, pointez sur Toutes les tâches, puis sélectionnez Gérer les clés privées.

4. Sélectionnez Add (ou sélectionnez le compte Service réseau s’il s’agit du compte que vous avez utilisé au cours de l’installation), ajoutez le compte CRMAppPool, puis octroyez les autorisations de Lecture.

   Hinweis

   Vous pouvez utiliser le Gestionnaire des services Internet (IIS) pour déterminer le compte qui a été utilisé lors de l'installation pour le compte CRMAppPool. Dans le volet Connexions, sélectionnez Pools d’applications, puis vérifiez la valeur Identité pour CRMAppPool.

   

5. Cliquez sur OK.

Configuration de l'authentification basée sur les revendications à l'aide de l'Assistant Configurer l’authentification basée sur les revendications

Exécutez Configuration de l'Assistant Authentification basée sur les revendications pour activer l'authentification des revendications sur le Dynamics 365 Server.

1. Sur le serveur Dynamics 365 for Customer Engagement, démarrez Gestionnaire de déploiement.

2. Dans l'arborescence de la console du Gestionnaire de déploiement, cliquez avec le bouton droit sur Microsoft Dynamics 365, puis sélectionnez Configurer l'authentification basée sur les revendications.

3. Vérifiez le contenu de la page, puis sélectionnez Suivant.

4. Dans la page Spécifier le service d'émission de jeton de sécurité, entrez l'URL des métadonnées de fédération, telle que https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

   Ces données se trouvent généralement sur le site Web où Active Directory Federation Services s'exécute. Pour vérifier l'URL correcte, ouvrez un navigateur Internet et affichez l'URL des métadonnées de fédération. Vérifiez qu'aucun avertissement concernant le certificat n'apparaît.

   Vous devrez peut-être activer l'Affichage de compatibilité d'Internet Explorer.

5. Sélectionnez Suivant.

6. Dans la page Spécifier le certificat de chiffrement, choisissez l'une des deux méthodes suivantes pour spécifier le certificat de chiffrement :

   • Dans le champ Certificat, tapez le nom commun (CN) complet du certificat en respectant le format CN=certificate_subject_name.

   • Sous Certificat, sélectionnez Sélectionner, puis sélectionnez un certificat.

   Ce certificat permet à sert à AD FS de chiffrer les jetons d’authentification sécurisée envoyés au client Dynamics 365 for Customer Engagement.

   Hinweis

   Le compte de service Dynamics 365 for Customer Engagement doit bénéficier des autorisations en lecture pour la clé privée du certificat de chiffrement. Pour plus d'informations, voir la section « Compte CRMAppPool et certificat de chiffrement Dynamics 365 for Customer Engagement » ci-dessus.

7. Sélectionnez Suivant.

   L'Configuration de l'Assistant Authentification basée sur les revendications vérifie le jeton et le certificat indiqués.

8. Dans la page Vérifications du système, passez les résultats en revue, réalisez les étapes nécessaires pour corriger les problèmes éventuels, puis sélectionnez Suivant.

9. Sur la page Vérifier vos sélections et cliquez sur Appliquer, vérifiez vos sélections puis sélectionnez Appliquer.

10. Notez l'URL que vous devez utiliser pour ajouter la partie de confiance au service d'émission de jeton de sécurité. Affichez et enregistrez le fichier journal pour vous y référer ultérieurement.

11. Sélectionnez Terminer.

Configuration de l’authentification basée sur les revendications à l’aide de Windows PowerShell

1. Sur le serveur Dynamics 365 for Customer Engagement, ouvrez une invite Windows PowerShell.

2. Ajoutez le composant logiciel enfichable Windows PowerShell pour Dynamics 365 for Customer Engagement :

   PS > Add-PSSnapin Microsoft.Crm.PowerShell   
   

3. Obtenez les paramètres d’authentification basée sur les revendications :

   PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"   
   

4. Configurez l’objet d’authentification basée sur les revendications :

   PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URL  
   

   Où :

   • 1 = « true ».

   • certificate_name correspond au nom du certificat de chiffrement ;

   • federation_metadata_URL correspond à l'URL des métadonnées de fédération pour le service d'émission de jeton de sécurité (Par exemple, https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml.)

5. Définissez les valeurs d’authentification basée sur les revendications :

   PS > Set-CrmSetting $claims  
   

Définition des autorisations de lecture pour le compte ADFSAppPool

Si vous installez AD FS sur un autre serveur, vérifiez que le compte utilisé pour le pool d'applications ADFSAppPool dispose d'autorisations de Lecture. Voir la rubrique précédente « Compte CRMAppPool et certificat de chiffrement Dynamics 365 for Customer Engagement » pour connaître les étapes.

Voir aussi

Implémentation de l'authentification basée sur les revendications : accès interne

Hinweis

Pouvez-vous nous indiquer vos préférences de langue pour la documentation ? Répondez à un court questionnaire. (veuillez noter que ce questionnaire est en anglais)

Le questionnaire vous prendra environ sept minutes. Aucune donnée personnelle n’est collectée (déclaration de confidentialité).