Feedback

Configurați serverul AD FS pentru autentificarea bazată pe revendicări

  • Articol
  • 4 minute de lectură

După ce ați activat autentificarea bazată pe revendicări, următorul pas este să adăugați și să configurați furnizorul de revendicări și părțile de încredere în AD FS.

Configurați încrederea furnizorului de revendicări

Trebuie să adăugați o regulă de revendicări pentru a prelua atributul nume principal de utilizator (UPN).Active Directory și trimite-l cătreDynamics 365 for Customer Engagement ca UPN.

Configurați AD FS pentru a trimite atributul UPN LDAP ca revendicare către o parte de încredere

  1. Pe serverul care ruleazăAD FS, startAD FS management.

  2. În Panoul de navigare, extinde Relații de încredere, apoi selectați Trusturi pentru furnizori de revendicări.

  3. Sub Trusturi pentru furnizori de revendicări, Click dreapta Active Directory, apoi selectați Editați regulile de revendicare.

  4. În Editorul de reguli, selectați Adăugați o regulă.

  5. În Șablon de regulă de revendicare lista, selectați Trimiteți atribute LDAP ca revendicări șablon, apoi selectați Următorul.

  6. Creați următoarea regulă:

    • Numele regulii de revendicare: Regulă de revendicare UPN (sau ceva descriptiv)

    • Adăugați următoarea mapare:

      1. Magazin de atribute: Active Directory

      2. Atribut LDAP: Nume principal de utilizator

      3. Tip de revendicare trimisă: UPN

  7. Selectați finalizarea, apoi selectați Bine pentru a închide Editorul de reguli.

Configurați o parte de încredere

După ce activați autentificarea bazată pe revendicări, trebuie să configurațiDynamics 365 Server ca parte care se bazează pentru a consuma pretenții de laAD FS pentru autentificarea accesului la revendicări interne.

  1. Pe serverul care ruleazăAD FS, startAD FS management.

  2. În Panoul de navigare, extinde Relații de încredere, apoi selectați Încrederi de partid de încredere.

  3. Pe Acțiuni meniul situat în coloana din dreapta, selectați Adăugați Trusting Party Trust.

  4. În Adăugați Expertul de încredere pentru partea de încredere, Selectați start.

  5. Pe Selectați sursă de date pagina, selectați Importați date despre partea de încredere publicate online sau într-o rețea locală, apoi tastați adresa URL pentru a localiza fișierul federationmetadata.xml.

    Metadatele acestei federații sunt create în timpul configurării revendicărilor. Utilizați adresa URL listată pe ultima pagină aAsistent configurare autentificare bazată pe solicitări (inainte de a selecta finalizarea), de exemplu,https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Verificați că nu apar avertismente legate de certificat.

  6. Selectați Următorul.

  7. Pe Specificați numele afișat pagina, introduceți un nume afișat, cum ar fi Dynamics 365 Claims Relying Party, apoi selectați Următorul.

  8. Pe Configurați acum autentificarea cu mai mulți factori pagina, faceți selecția și selectați Următorul.

  9. Pe Alegeți Reguli de autorizare a emiterii pagina, selectați Permiteți tuturor utilizatorilor să acceseze această parte de încredere, apoi selectați Următorul.

  10. Pe Gata pentru a adăuga încredere pagina, pe Identificatori fila, verificați asta Identificatorii părților de încredere are un singur identificator, cum ar fi următorul:

    Dacă identificatorul dvs. diferă de exemplul de mai sus, selectați Anterior în Adăugați Expertul de încredere pentru partea de încredere și verificați adresa metadatelor Federației.

  11. Selectați Următorul, apoi selectați Închide.

  12. Dacă apare Editorul de reguli, selectați Adăugați o regulă. În caz contrar, în Trusturi de partid de încredere listă, faceți clic dreapta pe obiectul de bază pe care l-ați creat, selectați Editați regulile de revendicare, apoi selectați Adăugați o regulă.

    Wichtig

    Asigurați-vă că Reguli de transformare a emisiunii fila este selectată.

  13. În Șablon de regulă de revendicare lista, selectați Transmite sau filtrează o revendicare primită șablon, apoi selectați Următorul.

  14. Creați următoarea regulă:

    • Numele regulii de revendicare: Treceți prin UPN (sau ceva descriptiv)

    • Adăugați următoarea mapare:

      1. Tip de revendicare primită: UPN

      2. Trecere prin toate valorile revendicărilor

  15. Selectați Terminare.

  16. În Editor de reguli, Selectați Adăugați o regulă, în Șablon de regulă de revendicare lista, selectați Transmite sau filtrează o revendicare primită șablon, apoi selectați Următorul.

  17. Creați următoarea regulă:

    • Numele regulii de revendicare: Treceți prin SID primar (sau ceva descriptiv)

    • Adăugați următoarea mapare:

      1. Tip de revendicare primită: SID primar

      2. Trecere prin toate valorile revendicărilor

  18. Selectați Terminare.

  19. În Editor de reguli, Selectați Adăugați o regulă.

  20. În Șablon de regulă de revendicare lista, selectați Transformați o revendicare primită șablon, apoi selectați Următorul.

  21. Creați următoarea regulă:

    • Numele regulii de revendicare: Transformați numele contului Windows în nume (sau ceva descriptiv)

    • Adăugați următoarea mapare:

      1. Tip de revendicare primită: Numele contului Windows

      2. Tip de revendicare trimisă: Nume

      3. Trecere prin toate valorile revendicărilor

  22. Selectați finalizarea, iar când ați creat toate cele trei reguli, selectați Bine pentru a închide Editorul de reguli.

    Trei reguli de revendicare.

    Această ilustrație arată cele trei reguli de încredere ale părților de încredere pe care le creați.

Încrederea în partea de încredere pe care ați creat-o definește cumAD FS Serviciul Federației recunoașteDynamics 365 for Customer Engagement partea care se bazează și îi emite pretenții.

Activați autentificarea prin formulare

ÎnAD FS înWindows Server 2012 R2, autentificarea prin formulare nu este activată în mod implicit.

  1. Conectați-vă laAD FS server ca administrator.

  2. Deschideți consola de management AD FS și selectați Politici de autentificare.

  3. Sub Autentificare primară, globale, de autentificare, Selectați Editați | ×.

  4. Sub Intranet, activați (verificați) Autentificare prin formulare și apoi selectați Bine.

Activați autentificarea prin formulare.

Pentru Windows Server 2016, rulați un cmdlet

Daca estiAD FS serverul ruleazăWindows Server 2016, rulați următorul cmdlet Windows PowerShell:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: ClientId-ul clientului dvs. Adfs. De exemplu: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: identificatorul părții dvs. de încredere. De exemplu: https://adventureworkscycle3.crm.crmifd.com/

Pentru mai multe informații, vezi Grant-AdfsApplicationPermission.

Vedeți și

Implementați autentificarea bazată pe revendicări: acces intern

Hinweis

Ne puteți spune care preferințele dvs. lingvistice pentru documentație? Răspundeți la un chestionar scurt. (rețineți că acest chestionar este în limba engleză)

Chestionarul va dura aproximativ șapte minute. Nu sunt colectate date personale (angajament de respectare a confidențialității).