CRMインターネット展開用の構成（IFD） のバックアップ(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• CRMインターネット展開用の構成（IFD） へ行く。
  • 1 (2015-05-06 (水) 01:27:49)
  • 2 (2015-07-28 (火) 01:27:14)
  • 3 (2015-08-02 (日) 02:27:43)
  • 4 (2015-08-02 (日) 13:12:09)
  • 5 (2015-08-02 (日) 19:12:13)
  • 6 (2015-08-02 (日) 22:15:51)
  • 7 (2015-08-03 (月) 00:34:23)
  • 8 (2015-08-04 (火) 03:27:29)
  • 9 (2015-08-06 (木) 23:44:00)
  • 10 (2015-08-09 (日) 15:16:13)
  • 11 (2015-08-13 (木) 14:54:32)
  • 12 (2016-01-26 (火) 13:13:11)
  • 13 (2017-01-12 (木) 16:41:38)
  • 14 (2017-02-27 (月) 22:53:53)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

CRMインターネット展開用の構成
IFD：Internet Facing Deployment

要件 †

Internet経由でのアクセスの場合に必要になる。

• ブラウザー経由
• Outlook用Microsoft Dynamics CRM経由

構成 †

• ポート転送などはサポートされていない。
• ケルベロス認証（イントラネット）か、
• クレームベース認証（インターネット）

要件 †

クレームベース認証 †

クレームベース認証でサポートするSTS

• WS-Trust v1.3
• ADFSの
  • v2.0 : Windows Server 2008 R2 別途ダウンロードしてインストール
  • v2.1 : Windows Server 2012 に同梱
  • v2.2 : Windows Server 2012 R2 に同梱

Webサイト †

バインディング †

• HTTPSバインディング
• 単一のバインディング（HTTP+HTTPSはNG）

ADFS同居の場合 †

• ADFSが使用するのでCRMで「既定のWebサイト」（80番ポート）は使用しない。
• ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、ADFSが使用する「既定のWebサイト」の
  HTTPSバインディングのポートを443番ポートから（444番等へ）変更しておく。これは、ADFSのインストールの前に行っておく。

DNSレコード †

ADFS †

• sts.contoso.com

検出Webサービス †

• contosonic.contoso.com

検出 Web サービス †

• dev.contoso.com

Webアプリケーション †

• auth.contoso.com

証明書 †

デジタル証明書、公開キー証明書

ADFS †

フェデレーション サーバーのための証明要件
https://technet.microsoft.com/ja-jp/library/Gg308501.aspx

サービス通信証明書 †

• STSのWebサイト(sts.contoso.com)の証明書
• IIS で使用する SSL 証明書と同じ証明書

トークン証明書（ADFSが初期構成時に生成） †

• メタデータの署名
• SAMLトークンの署名

トークン解読証明書（ADFSが初期構成時に生成） †

• SAMLトークンの解読
• 既定の解読証明書として IIS の SSL 証明書を使用する。

CRM †

Webサイト暗号証明書 †

• CRMのWebサイトの証明書

• 内部名・外部名を使用してアクセスされる場合、
  サブジェクトの別名に対応したSSLサーバ証明書を使用

• CRM Webサーバーの役割を複数のコンピュータにインストールする場合、
  ワイルドカードに対応したSSLサーバ証明書を使用

クレーム暗号証明書 †

• CRMとSTS間のデータ暗号化。
• CRMのWebサイト暗号証明書と同じものでも良い。
• フロントエンドの役割の全てにインストール。

CRMAppPool? †

• CRM Webサーバーの役割の実行アカウントであるCRMAppPool?は、
  クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。
  

• 管理ツールの証明書スナップインを使用して、暗号証明書に対する読み取りアクセス許可を追加する。

証明書の更新 †

• 有効期限切れの１ヶ月前には更新する計画を立てる。

• ADFSが初期構成時に生成する証明書は自動更新。
  • トークン証明書
  • トークン解読証明書

ADFS 2.0の初期構成 †

前提条件 †

前提条件のソフトウェア

• PowerShell
• .NET 3.5 SP1
• IIS
• WIF

準備 †

• ADFSの外部名（e.g.:sts.contoso.com）を指しているサービス通信証明書を
  ウィザードの開始前にWebサイト上にインストールしておく必要がある。

インストール †

• ウィザードの起動
• スタンドアロン フェデレーションサーバー
• フェデレーションサービス名で証明書の選択

構成 †

要求プロバイダー信頼の構成 †

• 要求プロバイダー信頼が自動的に追加
• 要求規則を要求プロバイダー信頼に追加
  • Active Directoryの要求規則の編集→規則の追加
  • 要求規則テンプレート→LDAP属性を要求として送信
  • 規則の構成
    • 要求規則名：UPN要求規則
    • 属性のストア：Active Directory
    • LDAP属性：User-Principal-Name
    • 出力方向の要求の種類：UPN

Dynamics CRMでクレームベース認証を構成 †

• 展開マネージャでクレームベース認証を有効にする。
• Dynamics CRMのための証明書利用者信頼を追加する。
• 構成すると自動的に有効になり、内部アクセスと外部アクセスに適用される。

構成 †

展開マネージャで構成 †

• 以下のいずれかの方法でウィザードを開始
  • 「操作」ウィンドウで「クレームベース認証の構成を」クリック
  • 「タスク」ウィンドウで「クレームベース認証の構成を」クリック
  • コンソール・ツリーで「Microsoft Dynamics CRM」を右クリックして「クレームベース認証の構成を」クリック
  • 「操作」プルダウン・メニューで「クレームベース認証の構成を」クリック

• ウィザード
  • 「セキュリティトークンサービスを指定します」のページで、
    STSのフェデレーション・メタデータのURLを入力する。
    https://sts.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

• 「暗号証明書」を指定しますページでクレーム暗号証明書を選択。
  • 事前に、フロントの役割の全てにインストールしておく。

• システムのチェック

• 選択内容の確認
  • Dynamics CRMのフェデレーション・メタデータのURLをメモする。
    ADFSに信頼されている証明書利用者としてDynamics CRMを追加する時に使用する。

PowerShellで構成 †

Windows PowerShell を使用した展開の管理
https://technet.microsoft.com/ja-jp/library/Dn531202.aspx

• コマンドレットの追加

  Add-PSSnapin Microsoft.Crm.PowerShell

• クレームベース認証を有効にする。

  #Get the current settings into a variable
  $ClaimsSettings = Get-CrmSetting claimssettings
  #Set the enabled parameter to true
  $ClaimsSettings.Enabled = $true
  #Set the Encryption certificate and the Federation Metadata URL
  $ClaimsSettings.EncryptionCertificate = "CN=*.contoso.com, OU=Domain Control Validated, O=*.contoso.com"
  $ClaimsSettings.FederationMetadataUrl = "https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml"
  #Enable claims-based authentication
  Set-CrmSetting $ClaimSettings

ADFS 2.0の証明書利用者信頼 †

証明書利用者信頼の追加 †

Dynamics CRMのクレームベース認証が有効になった後、
Dynamics CRMの証明書利用者信頼をADFSに追加する。

• IFDアクセスのみ、内部アクセスのみの場合、証明書利用者信頼は１つだけ。
• IFDアクセスと内部アクセスの場合、２つの証明書利用者信頼が必要。

ウィザート †

ADFS管理コンソールの「操作」ウィンドウで
「証明書利用者信頼の追加」をクリックし、ウィザートで次の手順を実行。

• 「データソースの選択」の
  「オンラインまたはローカルネットワークで公開されている証明書利用者についてのデータをインポートする」から、
  Dynamics CRMのフェデレーション・メタデータのURLを入力する。
  • 内部アクセスの場合
    http://内部サーバー名:ポート/FederationMetadata?/2007-06/FederationMetadata?.xml
  • IFDアクセスの場合
    http://外部名/FederationMetadata?/2007-06/FederationMetadata?.xml

• 「表示名の指定」ページで表示名を入力
• 「発行承認規則の選択」ページで「すべてのユーザに対してこの証明書利用へのアクセスを許可する」をオンにする。
• , etc.

証明書利用者信頼の要求規則の追加 †

要求規則を記述する。

• ADFSによって
  • 承諾される入力方向の要求
  • 要求に適用される条件
  • 発行される出力方向の要求

• ３つの要求規則が必要。
  • UPNパススルー
  • プライマリSIDパススルー
  • Windowsアカウント名を名前に変換

• ADFS管理コンソールで証明書利用者信頼に移動し、
  証明書利用者信頼を右クリックし要求規則の編集をクリック。

UPNパススルー †

プライマリSIDパススルー †

Windowsアカウント名を名前に変換 †

参考 †

ADFSでのクレームベース認証 †

以下のように説明されている。

Microsoft Dynamics CRM >> Active Directory およびクレームベース認証
https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx

Security Assertion Markup Language (SAML) トークンの

• パッシブ モード (Microsoft Dynamics CRM, CRM Onlineで WS-Federation を使用する場合) または
• アクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合)

での使用を規定する一連の WS-* 標準です。

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.057 sec.