클레임 기반 인증 구성
클레임 기반 보안 모델은 기존의 인증 모델을 확장하여 사용자 정보가 포함된 다른 디렉터리 원본을 포함합니다. 이 ID 페더레이션을 통해 Active Directory Domain Services, 인터넷 고객 또는 비즈니스 파트너와 같은 다양한 소스의 사용자가 Dynamics 365 Customer Engagement (on-premises)을 사용할 수 있습니다.
중요
Dynamics 365 Customer Engagement (on-premises) 인터넷 연결 배포(IFD) 액세스에는 클레임 기반 인증이 필요합니다. 하지만 모든 Dynamics 365 Customer Engagement (on-premises) 사용자가 있는 동일 도메인에 Dynamics 365 Customer Engagement (on-premises)이 배포되었거나 사용자가 트러스트된 도메인에 있으면 인트라넷 Dynamics 365 Customer Engagement (on-premises) 액세스에 클레임 기반 인증이 필요하지 않습니다.
클레임 기반 인증 구성 마법사를 실행하기 전에 AD FS(Active Directory Federation Services)와 같은 STS(보안 토큰 서비스)를 사용할 수 있어야 합니다. AD FS(Active Directory Federation Services)에 대한 자세한 내용은 ID 및 액세스 관리를 참조하세요.
클레임 기반 인증 구성
배치 관리자를 시작하십시오.
다음과 같이 바인딩 유형을 HTTPS로 설정합니다.
작업 창에서 속성을 선택합니다.
웹 주소 탭을 선택합니다.
바인딩 유형에서 HTTPS를 선택합니다.
확인을 선택합니다.
중요
클레임 기반 인증을 사용하려면 바인딩 유형을 HTTPS로 설정해야 합니다.
웹 주소가 Dynamics 365 Customer Engagement (on-premises) 웹 사이트에 연결된 TLS/SSL 인증서 및 TLS/SSL 포트에 유효한지 확인하십시오.
이전 바인딩 값을 사용하여 If Dynamics 365 for Outlook 클라이언트가 구성된 경우 해당 클라이언트를 새 값으로 구성해야 합니다.
다음 두 가지 방법 중 하나로 클레임 기반 인증 구성 마법사를 엽니다.
작업 창에서 클레임 기반 인증 구성을 선택합니다.
배포 관리자 콘솔 트리에서 Dynamics 365 Customer Engagement (on-premises)를 마우스 오른쪽 버튼으로 클릭한 다음 클레임 기반 인증 구성을 선택합니다.
다음을 선택합니다.
보안 토큰 서비스 지정 페이지에서 https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml 같은 페더레이션 메타데이터 URL을 입력합니다.
이 데이터는 일반적으로 AD FS(Active Directory Federation Services)가 실행 중인 웹 사이트에 있습니다. URL이 올바른지 확인하려면 해당 URL로 인터넷 브라우저를 열어 페더레이션 메타데이터를 확인합니다. 인증서 관련 경고가 나타나지 않아야 합니다.
다음을 선택합니다.
암호화 인증서 지정 페이지에서 다음 두 가지 방법 중 하나를 사용하여 암호화 인증서를 지정합니다.
인증서 상자에 인증서 이름을 입력합니다. CN=certificate_subject_name 형식을 사용하여 인증서의 전체 CN(일반 이름)을 입력합니다.
인증서에서 선택을 선택한 후 인증서를 선택합니다.
이 인증서는 AD FS(Active Directory Federation Services) STS(보안 토큰 서비스)에 전송된 인증 보안 토큰을 암호화하는 데 사용됩니다.
노트
Dynamics 365 Customer Engagement (on-premises) 서비스 계정은 암호화 인증서의 개인 키에 대한 읽기 권한이 있어야 합니다. CRMAppPool 계정 및 Microsoft Dynamics 365 Customer Engagement (on-premises) 암호화 인증서를 참조하십시오.
다음을 선택합니다.
클레임 기반 인증 구성 마법사는 지정한 토큰과 인증서를 확인합니다.
시스템 검사 페이지에서 결과를 검토하고, 문제를 해결한 후 다음을 선택합니다.
선택한 사항을 검토한 다음 [적용]을 클릭하십시오. 페이지에서 선택한 사항을 확인한 후 적용을 선택합니다.
보안 토큰 서비스에 신뢰 당사자를 추가하는 데 사용해야 하는 URL을 확인합니다. 나중에 참조할 수 있도록 로그 파일을 확인 후 저장합니다.
페이지에서 해당 정보를 확인한 후 마침을 선택합니다.
클레임 기반 인증의 신뢰 당사자를 구성합니다.
중요
STS에서 신뢰 당사자를 만들기 전에는 클레임 기반 인증이 작동하지 않습니다. 자세한 내용은 클레임 기반 인증을 위해 AD FS 서버 구성을 참조하십시오.
CRMAppPool 계정 및 Microsoft Dynamics 365 Customer Engagement (on-premises) 암호화 인증서
Dynamics 365 Customer Engagement (on-premises)에서 AD FS(Active Directory Federation Services)로 전송된 클레임 데이터는 클레임 기반 인증 구성 마법사에서 지정한 인증서를 사용하여 암호화됩니다. 각 Dynamics 365 Customer Engagement (on-premises) 웹 응용 프로그램의 CRMAppPool 계정에는 암호화 인증서의 개인 키에 대한 읽기 권한이 있어야 합니다.
Dynamics 365 Server에서 로컬 컴퓨터 인증서 저장소를 대상으로 하는 인증서 스냅인 콘솔을 사용하여 MMC(Microsoft Management Console)를 만듭니다.
콘솔 트리에서 인증서(로컬 컴퓨터) 노드를 확장하고, 개인 저장소를 확장한 후 인증서를 선택합니다.
세부 정보 창에서 클레임 기반 인증 구성 마법사에 지정된 암호화 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 개인 키 관리를 선택합니다.
추가를 클릭하거나 설정 중에 사용한 네트워크 서비스 계정을 선택하고 CRMAppPool 계정을 추가한 후 읽기 권한을 부여합니다.
팁
IIS 관리자를 사용하면 CRMAppPool 계정 설정 중에 사용한 계정을 확인할 수 있습니다. 연결 창에서 응용 프로그램 풀을 선택한 후 CRMAppPool의 ID 값을 확인하면 됩니다.
확인을 선택합니다.