クレームベース認証用に Microsoft Dynamics 365 サーバーを構成する
公開日: 2017年1月
対象: Dynamics 365 (on-premises)、Dynamics CRM 2016
AD FS のインストール後、クレームベース認証を有効にする前に Microsoft Dynamics 365 Server のバインディングの種類とルート ドメインを設定する必要があります。
このトピックの内容
HTTPS にバインドされた Microsoft Dynamics 365 Server の設定およびルート ドメインの Web アドレスの構築
CRMAppPool アカウントと Microsoft Dynamics CRM 暗号証明書
クレームベース認証の構成ウィザードを使用してクレームベース認証を構成する
Windows PowerShell を使用してクレームベース認証を構成する
ADFSAppPool アカウントに対する読み取りアクセス許可を設定する
HTTPS にバインドされた Microsoft Dynamics 365 Server の設定およびルート ドメインの Web アドレスの構築
Microsoft Dynamics 365 サーバーで、展開マネージャーを起動します。
操作ウィンドウで、[プロパティ] をクリックします。
[Web アドレス] タブをクリックします。
[バインディングの種類] で、[HTTPS] を選択します。
Web アドレスが TLS/SSL 証明書に対して有効で、TLS/SSL ポートが Microsoft Dynamics 365 Web サイトにバインドされていることを確認します。 内部アクセスにクレーム認証を使用するようにMicrosoft Dynamics 365 Serverを構成しているので、ルート ドメインの Web アドレスにホストの名前を使用します。
たとえば、*.contoso.com のワイルドカード証明書には、Web アドレスの internalcrm.contoso.com を使用します。
別のサーバーに AD FS と Microsoft Dynamics 365 Server をインストールする場合は、ポート 443 を Web アプリケーション サーバー、組織 Web サービスまたは検出 Web サービスに指定しないでください。
.jpeg "Configure the web address")
[OK] をクリックします。
警告
Outlook 用 Dynamics 365 クライアントが古いバインディング値を使用して設定されている場合は、そのクライアントを新しい値で設定する必要があります。
CRMAppPool アカウントと Microsoft Dynamics CRM 暗号証明書
クレームベース認証の構成ウィザードで指定した証明書は、AD FS に使用され、Microsoft Dynamics 365 Server クライアントに発行されたセキュリティ トークンを暗号化します。 各 Microsoft Dynamics 365 Web アプリケーションの CRMAppPool アカウントには、暗号証明書の秘密キーに関する読み取りアクセス許可が必要です。
Microsoft Dynamics 365 サーバーで、ローカル コンピューターの証明書ストアを対象にする証明書スナップイン コンソール付きのMicrosoft 管理コンソール (MMC) を作成します。
コンソール ツリーで、[証明書 (ローカル コンピューター)] ノード、[個人] ストアの順に展開し、[証明書] をクリックします。
詳細ウィンドウで、クレームベース認証の構成ウィザードで指定した暗号証明書を右クリックし、[すべてのタスク] をポイントして、[秘密キーの管理] をクリックします。
[追加] をクリックし (または、セットアップ時に使用したネットワーク サービス アカウントがある場合はそのアカウントを選択し)、CRMAppPool アカウントを追加し、読み取りアクセス許可を付与します。
注意
IIS マネージャーを使用すると、CRMAppPool アカウントのセットアップ時にどのアカウントを使用したかを確認できます。 [接続] ウィンドウで、[アプリケーション プール] をクリックし、CRMAppPool の [ID] 値をオンにします。
.jpeg "IIS Application Pools")
[OK] をクリックします。
クレームベース認証の構成ウィザードを使用してクレームベース認証を構成する
クレームベース認証の構成ウィザード を実行して、Microsoft Dynamics 365 Serverでクレーム認証を有効化します。
Microsoft Dynamics 365 サーバーで、展開マネージャーを起動します。
展開マネージャー コンソール ツリーで、Microsoft Dynamics 365 を右クリックし、[クレームベース認証の構成] をクリックします。
ページの内容を確認し、次へ をクリックします。
[セキュリティ トークン サービスの指定] ページで、https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml などのフェデレーション メタデータ URL を入力します。
このデータは、Active Directory フェデレーション サービスが実行している Web サイトにあります。 正しい URL を確認するには、インターネット ブラウザーを開き、フェデレーション メタデータ URL. を表示します。 証明書関連の警告が表示されないことを確認します。
Internet Explorer の互換表示 をオンにします。
[次へ] をクリックします。
次の 2 つのうち、いずれかの方法によって、[暗号証明書の指定] ページで暗号証明書を指定します。
証明書ボックスに証明書の完全な共通名 (CN) を CN=certificate_subject_name 形式で入力します。
[証明書] で、[選択] をクリックし、証明書を選択します。
この証明書は、Microsoft Dynamics 365 クライアントに発行される認証セキュリティ トークンを暗号化するためにAD FSによって使用されます。
注意
Microsoft Dynamics 365 サービス アカウントには、暗号証明書の秘密キーに対する読み取り権限が必要です。 詳細については、上記の「CRMAppPool アカウントとMicrosoft Dynamics 365 暗号証明書」を参照してください。
[次へ] をクリックします。
指定したトークンと証明書が クレームベース認証の構成ウィザード によって検証されます。
[システムのチェック] ページで、結果を確認します。問題がある場合は必要な手順を実行して修正し、[次へ] をクリックします。
[選択項目を確認し、[適用] をクリックしてください] ページで、選択項目を確認し、[適用] をクリックします。
証明書利用者をセキュリティ トークン サービスに追加するために使用しなければならない URL をメモします。 ログ ファイルを表示し、後で参照するために保存します。
[完了] をクリックします。
Windows PowerShell を使用してクレームベース認証を構成する
Microsoft Dynamics 365 サーバーで、Windows PowerShell プロンプトを開きます。
Microsoft Dynamics 365Windows PowerShell スナップインを追加します。
PS > Add-PSSnapin Microsoft.Crm.PowerShellクレームベース認証の設定を取得します。
PS > $claims = Get-CrmSetting -SettingType "ClaimsSettings"クレームベース認証オブジェクトを構成します。
PS > $claims.Enabled = 1 (or $true) PS > $claims.EncryptionCertificate = certificate_namePS > $claims.FederationMetadataUrl = federation_metadata_URLここで:
1 = "true"。
certificate_name は、暗号証明書の名前です。
federation_metadata_URLは、Security Token Service のフェデレーション メタデータ URL です (例、https://sts1.contoso.com/federationmetadata/2007-06/federationmetadata.xml。)
クレームベース認証の値を設定します。
PS > Set-CrmSetting $claims
ADFSAppPool アカウントに対する読み取りアクセス許可を設定する
別のサーバーに AD FS をインストールしている場合、ADFSAppPool アプリケーション プールに使用するアカウントに読み取り アクセス許可があることを確認します。 プロセス手順については、前のトピックの「CRMAppPool アカウントと Microsoft Dynamics 365 暗号証明書」を参照してください。
関連項目
© 2017 Microsoft. All rights reserved. 著作権