演练:配置 Microsoft Azure(ACS 备选方法)

  • 项目

 

发布日期: 2017年1月

适用于: Dynamics 365 (online),Dynamics 365 (on-premises),Dynamics CRM 2016,Dynamics CRM Online

重要

此过程已弃用。 应使用 演练:配置 Microsoft Azure (SAS) 与 Dynamics 365 集成 中介绍的使用 SAS 的过程,而不是使用 ACS 的过程。详细信息:Azure 文档:服务总线身份验证和授权

该演练将引导您配置 Microsoft Azure Active Directory 访问控制服务 (ACS) 颁发者、范围和规则以允许监听应用程序读取 Microsoft Dynamics 365 消息(已发布到 Microsoft Azure 服务总线)。 本走查适用于与 Microsoft Dynamics 365 的任意安装类型进行集成。

备注

推荐使用 SDK 下载中提供的插件注册工具为基本方案自动配置 ACS。 有关使用工具配置 ACS 的说明,请参阅 演练:配置 Microsoft Azure (ACS) 与 Dynamics 365 集成

关注本主题中的说明,了解使用 Azure 管理门户 的更多高级方案。

作为本演练的前提条件,如果您正在运行 Microsoft Dynamics 365(内部部署或 IFD),请配置 Microsoft Azure 集成的 Microsoft Dynamics 365。 有关详细信息,请参阅演练:配置 Dynamics 365 与 Microsoft Azure 集成。Microsoft Dynamics 365 (online) 已针对 Microsoft Azure 集成进行了预配置。

本主题内容

创建新服务命名空间

创建服务标识(颁发者)

创建规则组和规则

配置范围

创建新服务命名空间

如果您现在有一个想用的 ACS 服务命名空间,则继续名为 创建服务标识(颁发者) 的下一节内容。

警告

请勿使用 Microsoft Azure 门户来创建用于 Dynamics 365 的服务命名空间。 门户将创建 SAS 命名空间,但 Dynamics 365 要求使用 ACS 命名空间。

使用 PowerShell 命令创建新服务命名空间

  1. 下载并安装 Microsoft AzurePowerShell 模块。详细信息:如何安装和配置 Azure PowerShell

  2. 在“开始”菜单,打开 Microsoft AzurePowerShell 程序,并输入以下命令。

    > Add-AzureAccount
> New-AzureSBNamespace –Name YOUR_NAMESPACE -Location "YOUR_LOCATION" -CreateACSNamespace $true

    备注

    AzurePowerShell 的 0.8.9 或更高版本支持 New-AzureSBNamespace 命令中的 –CreateACSNamespace 参数。 如果您安装的 AzurePowerShell 版本不支持 –CreateACSNamespace 参数,请安装最新版本。 要查看您正在使用的 AzurePowerShell 版本,请输入命令 Get-Module Azure。

    较新版本的命令可能支持 –NamespaceType 参数。 如果是这样,请使用 –NamespaceType Messaging

    输入 Add-AzureAccount 后,系统将提示您提供您的 Azure 登录凭据。 为 YOUR_NAMESPACE 替换一个合适的命名空间名称,为 YOUR_LOCATION 替换一个合适的位置。 支持的位置:Central USEast USEast US 2North Central USSouth Central USWest USNorth EuropeWest EuropeEast AsiaSoutheast AsiaBrazil SouthJapan EastJapan West

输入这些命令后,就创建了命名空间,您应该会看到类似于以下内容的输出。

    Name                  : mynamespace
    Region                : Central US
    DefaultKey            : 1eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=
    Status                : Active
    CreatedAt             : 8/25/2014 3:36:47 PM
    AcsManagementEndpoint : https://mynamespace-sb.accesscontrol.windows.net/
    ServiceBusEndpoint    : https://mynamespace.servicebus.windows.net/
    ConnectionString      : Endpoint=sb://mynamespace.servicebus.windows.net/;SharedSecretIssuer=owner;SharedSecretValue=1
                            eKDTIYEACFP7Geiy5QV/hqJnWHeroJyKk/PBzv42Rw=

创建服务标识(颁发者)

  1. 如果尚未执行此操作,请转到 Microsoft Azure 管理门户 并登录。

  2. 在管理门户中,单击“服务总线”,然后在列表中选择现有的命名空间。

  3. 单击“连接信息”。

  4. 在窗体底部,单击“打开 ACS 管理门户”。

  5. 在“服务设置”下面,选择“服务标识”,然后单击“添加”。

  6. 在“添加服务标识” 页面上,请输入一个发行人身份名称。 这必须是配置 Microsoft Dynamics 365 时所使用的同一个发行人名字。 通过选择“设置” > “自定义项” > “开发人员资源”,您可以在 Dynamics 365 Web 应用程序中查找到该颁发者名称。

  7. 选择“X.509 证书” 的一种证件类型。

  8. 浏览到您本地计算机上的证书位置。 此证书可以通过单击“下载证书”链接(在 Dynamics 365 Web 应用程序的“开发人员资源”页面上)获取。

  9. 单击“保存”。

如果您正在使用 Microsoft Dynamics 365 (online),并且被告知从该服务器获取的证书已到期,则可以忽略此警告。

创建规则组和规则

为将允许 Microsoft Dynamics 365 发送或“发布”到 Microsoft Azure 服务总线 的目标范围创建规则。 您可以通过配置 ACS 从而将输入“组织”声明从 Microsoft Dynamics 365 映射到 Microsoft Azure 服务总线 的输出“发送”声明。

首先,请按照这些步骤创建一个规则组。

  1. 在“信任关系” 下,选择“规则组”。

  2. 单击“添加”。

  3. 输入该规则组的名称并选择“保存”。

然后,为该规则组添加一个声明规则。

  1. 在“编辑规则组” 页面上,单击“添加”。

  2. 在该页的“如果” 部分中,选择“访问控制服务”。

  3. 对于输入声明类型,选择“输入类型” 然后输入 https://schemas.microsoft.com/xrm/2011/Claims/Organization

  4. 对于输入声明值,选择“输入值”,然后输入 Microsoft Dynamics 365 组织的名称。

    对于面向 Internet 或内部部署的部署,用小写字符输入所需组织的唯一名称。 可以在“组织唯一名称”旁的 Dynamics 365 Web 应用程序的“开发人员资源”页上找到该名称。 若要在 Dynamics 365 中导航到该页,请单击“设置”>“自定义项”>“开发人员资源”。

    对于 Microsoft Dynamics 365 (online) 部署,指定 Web 服务 URL 的完整主机名部分。 例如,如果是 https://myorg.crm.dynamics.com/main.aspx 的 URL,那么名称路径为 myorg.crm.dynamics.com。

  5. 在“然后”部分,对于输出声明类型,请单击“选择类型”,然后从下拉列表中选择 http://docs.oasis-open.org/wsfed/authorization/200706/claims/action 项目。

  6. 对于输出声明值,选择“输入值”,然后输入输出声明的 Send 值。

  7. 添加此规则的描述(可选)。 例如,您可以键入:允许 contoso 组织发送至 Microsoft Azure 服务总线。

  8. 单击“保存”。

配置范围

下列步骤描述如何针对 Microsoft Dynamics 365 发布的正常模式配置 ACS 的 Microsoft Azure 服务总线 范围。 定义范围可以对服务命名空间提供更有限的访问。

  1. 在“信任关系” 下,选择“信赖方应用”,然后单击“添加”。

  2. 在“添加信赖方应用” 页面上,请输入信赖方的显示名称。 例如,输入 internal。 这个名称指的是范围名称。

  3. 输入您的 Microsoft Azure 服务终结点的领域 URI 并追加范围名称(如 https://crmsdkdemo.servicebus.windows.net/internal)。

  4. 输入返回 URL,与您刚刚输入的领域 URI 值相同。

  5. 选择一个令牌格式的“SAML 2.0”。

  6. 您可以随意地增加令牌的使用寿命值。

  7. 确保已选择“Windows Live ID” 标识供应商。

  8. 选择您之前创建的规则组名称。 如果规则旁的复选框出现重影,首先请清除当前已选择的复选框,然后选择您的规则复选框。

  9. 单击“保存”。

重要

如果使用联合模式,其过程与上述演练描述的类似。 您将添加颁发者,并创建特定于 Uri(推荐)的范围,或创建新的基本范围。 您需要同时配置 -sb 和非 -sb 范围。 您可能还需要创建一个用于创建颁发者的令牌策略。

另请参阅

Microsoft Dynamics 365 的 Azure 扩展
演练:配置 Dynamics 365 与 Microsoft Azure 集成
配置 Azure 与 Microsoft Dynamics 365 集成
ACS 管理门户

Microsoft Dynamics 365

© 2017 Microsoft。 保留所有权利。 版权