CRMインターネット展開用の構成（IFD） のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• CRMインターネット展開用の構成（IFD） へ行く。
  • 1 (2015-05-06 (水) 01:27:49)
  • 2 (2015-07-28 (火) 01:27:14)
  • 3 (2015-08-02 (日) 02:27:43)
  • 4 (2015-08-02 (日) 13:12:09)
  • 5 (2015-08-02 (日) 19:12:13)
  • 6 (2015-08-02 (日) 22:15:51)
  • 7 (2015-08-03 (月) 00:34:23)
  • 8 (2015-08-04 (火) 03:27:29)
  • 9 (2015-08-06 (木) 23:44:00)
  • 10 (2015-08-09 (日) 15:16:13)
  • 11 (2015-08-13 (木) 14:54:32)
  • 12 (2016-01-26 (火) 13:13:11)
  • 13 (2017-01-12 (木) 16:41:38)
  • 14 (2017-02-27 (月) 22:53:53)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

CRMインターネット展開用の構成
IFD：Internet Facing Deployment

要件 †

Internet経由でのアクセスの場合に必要になる。

• ブラウザー経由
• Outlook用Microsoft Dynamics CRM経由

構成 †

• ポート転送などはサポートされていない。
• ケルベロス認証（イントラネット）か、
• クレームベース認証（インターネット）

要件 †

クレームベース認証 †

クレームベース認証でサポートするSTS

• WS-Trust v1.3
• ADFSの
  • v2.0 : Windows Server 2008 R2 別途ダウンロードしてインストール
  • v2.1 : Windows Server 2012 に同梱
  • v2.2 : Windows Server 2012 R2 に同梱

Webサイト †

バインディング †

• HTTPSバインディング
• 単一のバインディング（HTTP+HTTPSはNG）

ADFS同居の場合 †

• ADFSが使用するのでCRMで「既定のWebサイト」（80番ポート）は使用しない。
• ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、ADFSが使用する「既定のWebサイト」の
  HTTPSバインディングのポートを443番ポートから（444番等へ）変更しておく。これは、ADFSのインストールの前に行っておく。

DNSレコード †

ADFS †

• sts.contoso.com

検出Webサービス †

• contosonic.contoso.com

検出 Web サービス †

• dev.contoso.com

Webアプリケーション †

• auth.contoso.com

証明書 †

デジタル証明書、公開キー証明書

ADFS †

フェデレーション サーバーのための証明要件
https://technet.microsoft.com/ja-jp/library/Gg308501.aspx

サービス通信証明書 †

• STSのWebサイト(sts.contoso.com)の証明書
• IIS で使用する SSL 証明書と同じ証明書

トークン証明書（ADFSが初期構成時に生成） †

• メタデータの署名
• SAMLトークンの署名

トークン解読証明書（ADFSが初期構成時に生成） †

• SAMLトークンの解読
• 既定の解読証明書として IIS の SSL 証明書を使用する。

CRM †

Webサイト暗号証明書 †

• CRMのWebサイトの証明書

• 内部名・外部名を使用してアクセスされる場合、
  サブジェクトの別名に対応したSSLサーバ証明書を使用

• CRM Webサーバーの役割を複数のコンピュータにインストールする場合、
  ワイルドカードに対応したSSLサーバ証明書を使用

クレーム暗号証明書 †

• CRMとSTS間のデータ暗号化。
• フロントの役割の全てにインストール。

CRMAppPool? †

• CRM Webサーバーの役割の実行アカウントであるCRMAppPool?は、
  クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。
  

• 管理ツールの証明書スナップインを使用して、暗号証明書に対する読み取りアクセス許可を追加する。

証明書の更新 †

• 有効期限切れの１ヶ月前には更新する計画を立てる。

• ADFSが初期構成時に生成する証明書は自動更新。
  • トークン証明書
  • トークン解読証明書

ADFS 2.0 †

前提条件 †

前提条件のソフトウェア

• PowerShell
• .NET 3.5 SP1
• IIS
• WIF

準備 †

• ADFSの外部名（e.g.:sts.contoso.com）を指しているサービス通信証明書を
  ウィザードの開始前にWebサイト上にインストールしておく必要がある。

インストール †

• ウィザードの起動
• スタンドアロン フェデレーションサーバー
• フェデレーションサービス名で証明書の選択

構成 †

要求プロバイダー信頼の構成 †

• 要求プロバイダー信頼が自動的に追加
• 要求規則を要求プロバイダー信頼に追加
  • Active Directoryの要求規則の編集→規則の追加
  • 要求規則テンプレート→LDAP属性を要求として送信
  • 規則の構成
    • 要求規則名：UPN要求規則
    • 属性のストア：Active Directory
    • LDAP属性：User-Principal-Name
    • 出力方向の要求の種類：UPN

Dynamics CRM †

Dynamics CRMでクレームベース認証を構成 †

• 展開マネージャでクレームベース認証を有効にする。
• Dynamics CRMのための証明書利用者信頼を追加する。
• 構成すると自動的に有効になり、内部アクセスと外部アクセスに適用される。

参考 †

ADFSでのクレームベース認証 †

以下のように説明されている。

Microsoft Dynamics CRM >> Active Directory およびクレームベース認証
https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx

Security Assertion Markup Language (SAML) トークンの

• パッシブ モード (Microsoft Dynamics CRM, CRM Onlineで WS-Federation を使用する場合) または
• アクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合)

での使用を規定する一連の WS-* 標準です。

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.038 sec.