設定宣告型驗證

宣告型安全性模型會擴充傳統驗證模型，以包括含使用者資訊的其他目錄來源。 此識別身分同盟可讓不同來源 (例如，Active Directory Domain Services、透過網際網路的客戶或是業務夥伴) 的使用者使用 Dynamics 365 for Customer Engagement。

Wichtig

Dynamics 365 for Customer Engagement 網際網路對向部署 (IFD) 存取需要宣告型驗證。 然而，如果將 Dynamics 365 for Customer Engagement 部署在與所有 Dynamics 365 for Customer Engagement 使用者相同的網域，或是使用者位於受信任網域，則內部網路 Dynamics 365 for Customer Engagement 存取不需要宣告型驗證。

在您執行設定宣告型驗證精靈之前，必須可以使用 Security Token Service (STS) (如 Active Directory Federation Services (AD FS))。 如需 Active Directory Federation Services (AD FS) 的詳細資訊，請參閱身分識別和存取管理。

設定宣告型驗證

1. 啟動部署管理員。

2. 將 繫結類型 設為 HTTPS，如下所示：

   • 在 動作 窗格中，選取 屬性。

   • 選取 網址 索引標籤。

   • 在 繫結類型 下，選取 HTTPS。

   • 選取 確定。

   Wichtig

   必須 將 繫結類型 設為 HTTPS，才能使用宣告型驗證。

   確認繫結至 Dynamics 365 for Customer Engagement 網站的 TLS/SSL 憑證和 TLS/SSL 連接埠網址是否正確。

   如果是使用舊的繫結值來設定 Dynamics 365 for Outlook 用戶端，這些用戶端將必須設定為新的值。

3. 用下列兩種方式之一開啟 [設定宣告型驗證精靈]：

   • 在 動作 窗格中，選取 設定宣告型驗證。

   • 在部署管理員主控台樹狀結構中，以滑鼠右鍵按一下 Dynamics 365 for Customer Engagement，然後選取 設定宣告型驗證。

4. 選取 下一步。

5. 在 指定 the security token service 頁面上，輸入 同盟中繼資料 URL，例如 *https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml*。

   此資料通常是位於執行 Active Directory Federation Services (AD FS) 的網站上。 若要確認 URL 是否正確，請使用該 URL 開啟網際網路瀏覽器，以檢視同盟中繼資料。 確認不會出現憑證相關的警告。

6. 選取 下一步。

7. 在 指定加密憑證 頁面上，以下列兩種方式之一指定加密憑證：

   • 在 憑證 方塊中，輸入憑證的名稱。 使用 CN=certificate_subject_name 的格式，輸入憑證的完整一般名稱 (CN)。

   • 選擇 憑證 下的 選取，然後選取憑證。

   這個憑證用以加密傳送至 Active Directory Federation Services (AD FS) Security Token Service (STS) 的驗證安全性權杖。

   Hinweis

   Dynamics 365 for Customer Engagement 服務帳戶必須具有加密憑證之私密金鑰的「讀取」權限。 請參閱 CRMAppPool 帳戶和 Microsoft Dynamics 365 Customer Engagement (on-premises) 加密憑證。

8. 選取 下一步。

   [設定宣告型驗證精靈] 會驗證您指定的權杖與憑證。

9. 在 系統檢查 頁面上，檢閱結果、修復任何問題，然後選取 下一步。

10. 在 檢閱您選取的項目，然後按一下 套用 頁面上，確認您的選取項目，然後選取 套用。

11. 請記下您必須用來將信賴憑證者新增至安全性權杖服務的 URL。 檢視並儲存記錄檔供後續參考。

12. 注意頁面上的資訊，然後選取 完成。

13. 設定宣告型驗證的信賴憑證者。

    Wichtig

    您必須先在 STS 中建立信賴憑證者，宣告型驗證才能正常運作。 如需詳細資訊，請參閱針對宣告型驗證設定 AD FS 伺服器。

CRMAppPool 帳戶和 Microsoft Dynamics 365 Customer Engagement (on-premises) 加密憑證

自 Dynamics 365 for Customer Engagement 傳送到 Active Directory Federation Services (AD FS) 的宣告資料，是使用您透過設定宣告型驗證精靈指定的憑證來加密。 每個 Dynamics 365 for Customer Engagement Web 應用程式的 CRMAppPool 帳戶，都必須擁有加密憑證的私密金鑰讀取權限。

1. 在 Dynamics 365 Server 上，利用 憑證 嵌入式管理單元主控台來建立以 本機電腦 憑證存放區為目標的 Microsoft Management Console (MMC)。

2. 在主控台樹狀結構中，展開 [憑證] (本機電腦) 節點、展開 個人 存放區，然後選取 憑證。

3. 在詳細資料窗格中，以滑鼠右鍵按一下 設定宣告型驗證精靈 中指定的加密憑證、指向 所有工作，然後選取 管理私密金鑰。

4. 選取 新增 (或如果這是您在設定期間使用的帳戶，則請選取網路服務帳戶)，新增 CRMAppPoo l 帳戶，然後授與讀取權限。

   Tipp

   您可以使用 IIS 管理員來判斷在設定 CRMAppPool 帳戶時所使用的帳戶。 在 連線 窗格中，選取 應用程式集區，然後檢查 CRMAppPool 的 識別身分 值。

5. 選取 確定。

請參閱

停用宣告型驗證
設定網際網路對向部署

Hinweis

是否能請您告知您偏好的慣用文件語言？ 請填寫問卷。 (請注意，本問卷為英文版)

完成問卷大約需要七分鐘。 本問卷將不會收集個人資料 (隱私權聲明)。