CRMインターネット展開用の構成（IFD） のバックアップ(No.7)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• CRMインターネット展開用の構成（IFD） へ行く。
  • 1 (2015-05-06 (水) 01:27:49)
  • 2 (2015-07-28 (火) 01:27:14)
  • 3 (2015-08-02 (日) 02:27:43)
  • 4 (2015-08-02 (日) 13:12:09)
  • 5 (2015-08-02 (日) 19:12:13)
  • 6 (2015-08-02 (日) 22:15:51)
  • 7 (2015-08-03 (月) 00:34:23)
  • 8 (2015-08-04 (火) 03:27:29)
  • 9 (2015-08-06 (木) 23:44:00)
  • 10 (2015-08-09 (日) 15:16:13)
  • 11 (2015-08-13 (木) 14:54:32)
  • 12 (2016-01-26 (火) 13:13:11)
  • 13 (2017-01-12 (木) 16:41:38)
  • 14 (2017-02-27 (月) 22:53:53)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

CRMインターネット展開用の構成
IFD：Internet Facing Deployment

要件 †

Internet経由でのアクセスの場合に必要になる。

• ブラウザー経由
• Outlook用Microsoft Dynamics CRM経由

構成 †

• ポート転送などはサポートされていない。
• ケルベロス認証（イントラネット）か、
• クレームベース認証（インターネット）

要件 †

クレームベース認証 †

クレームベース認証でサポートするSTS

• WS-Trust v1.3
• ADFSの
  • v2.0 : Windows Server 2008 R2 別途ダウンロードしてインストール
  • v2.1 : Windows Server 2012 に同梱
  • v2.2 : Windows Server 2012 R2 に同梱

Webサイト †

バインディング †

• HTTPSバインディング
• 単一のバインディング（HTTP+HTTPSはNG）

ADFS同居の場合 †

• ADFSが使用するのでCRMで「既定のWebサイト」（80番ポート）は使用しない。
• ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、ADFSが使用する「既定のWebサイト」の
  HTTPSバインディングのポートを443番ポートから（444番等へ）変更しておく。これは、ADFSのインストールの前に行っておく。

DNSレコード †

ADFS †

• sts.contoso.com

組織レコード †

• contosoinc.contoso.com

検出 Web サービス †

• dev.contoso.com

Webアプリケーション †

• auth.contoso.com

証明書 †

デジタル証明書、公開キー証明書

ADFS †

フェデレーション サーバーのための証明要件
https://technet.microsoft.com/ja-jp/library/Gg308501.aspx

• サービス通信証明書
  • STSのWebサイト(sts.contoso.com)の証明書
  • IIS で使用する SSL 証明書と同じ証明書

• トークン証明書（ADFSが初期構成時に生成）
  • メタデータの署名
  • SAMLトークンの署名

• トークン解読証明書（ADFSが初期構成時に生成）
  • SAMLトークンの解読
  • 既定の解読証明書として IIS の SSL 証明書を使用する。

CRM †

• Webサイト暗号証明書

• CRMのWebサイトの証明書

• 内部名・外部名を使用してアクセスされる場合、
  サブジェクトの別名に対応したSSLサーバ証明書を使用

• CRM Webサーバーの役割を複数のコンピュータにインストールする場合、
  ワイルドカードに対応したSSLサーバ証明書を使用

• クレーム暗号証明書
  • CRMとSTS間のデータ暗号化。
  • CRMのWebサイト暗号証明書と同じものでも良い。
  • フロントエンドの役割の全てにインストール。

• CRMAppPool?
  • CRM Webサーバーの役割の実行アカウントであるCRMAppPool?は、
    クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。
    

• 管理ツールの証明書スナップインを使用して、暗号証明書に対する読み取りアクセス許可を追加する。

証明書の更新 †

• 有効期限切れの１ヶ月前には更新する計画を立てる。

• ADFSが初期構成時に生成する証明書は自動更新。
  • トークン証明書
  • トークン解読証明書

ADFS 2.0の初期構成 †

前提条件 †

前提条件のソフトウェア

• PowerShell
• .NET 3.5 SP1
• IIS
• WIF

準備 †

• ADFSの外部名（e.g.:sts.contoso.com）を指しているサービス通信証明書を
  ウィザードの開始前にWebサイト上にインストールしておく必要がある。

インストール †

• ウィザードの起動
• スタンドアロン フェデレーションサーバー
• フェデレーションサービス名で証明書の選択

要求プロバイダー信頼の構成 †

• 要求プロバイダー信頼が自動的に追加
• 要求規則を要求プロバイダー信頼に追加
  • Active Directoryの要求規則の編集→規則の追加
  • 要求規則テンプレート→LDAP属性を要求として送信
  • 規則の構成
    • 要求規則名：UPN要求規則
    • 属性のストア：Active Directory
    • LDAP属性：User-Principal-Name
    • 出力方向の要求の種類：UPN

Dynamics CRMでクレームベース認証を構成 †

• 展開マネージャでクレームベース認証を有効にする。
• Dynamics CRMのための証明書利用者信頼を追加する。
• 構成すると自動的に有効になり、内部アクセスと外部アクセスに適用される。

展開マネージャで構成 †

ウィザードを開始 †

以下のいずれかの方法でウィザードを開始

• 「操作」ウィンドウで「クレームベース認証の構成」をクリック
• 「タスク」ウィンドウで「クレームベース認証の構成」をクリック
• コンソール・ツリーで「Microsoft Dynamics CRM」を右クリックして「クレームベース認証の構成」をクリック
• 「操作」プルダウン・メニューで「クレームベース認証の構成」をクリック

フェデレーション・メタデータのURLを入力 †

「セキュリティトークンサービスを指定します」のページで、
STSのフェデレーション・メタデータのURLを入力する。
https://sts.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

クレーム暗号証明書 †

「暗号証明書」を指定しますページでクレーム暗号証明書を選択。 事前に、フロントの役割の全てにインストールしておく。

システムのチェック †

選択内容の確認 †

• Dynamics CRMのフェデレーション・メタデータのURLをメモする。
  ADFSに信頼されている証明書利用者としてDynamics CRMを追加する時に使用する。

クレームベース認証の無効化 †

IFDが構成されている場合、IFDも無効化される。

PowerShellで構成 †

http://www.firebrandtraining.dk/pdf/learn/microsoft/dynamics-crm-2015-courseware.pdf

コマンドレットの追加 †

Add-PSSnapin Microsoft.Crm.PowerShell

クレームベース認証を有効にする。 †

#Get the current settings into a variable
$ClaimsSettings = Get-CrmSetting claimssettings
#Set the enabled parameter to true
$ClaimsSettings.Enabled = $true
#Set the Encryption certificate and the Federation Metadata URL
$ClaimsSettings.EncryptionCertificate = "CN=*.contoso.com, OU=Domain Control Validated, O=*.contoso.com"
$ClaimsSettings.FederationMetadataUrl = "https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml"
#Enable claims-based authentication
Set-CrmSetting $ClaimSettings

ADFS 2.0の証明書利用者信頼 †

証明書利用者信頼の追加 †

Dynamics CRMのクレームベース認証が有効になった後、
Dynamics CRMの証明書利用者信頼をADFSに追加する。

• IFDアクセスのみ、内部アクセスのみの場合、証明書利用者信頼は１つだけ。
• IFDアクセスと内部アクセスの場合、２つの証明書利用者信頼が必要。

ADFS管理コンソールの「操作」ウィンドウで
「証明書利用者信頼の追加」をクリックし、ウィザードで次の手順を実行。

• 「データソースの選択」の
  「オンラインまたはローカルネットワークで公開されている証明書利用者についてのデータをインポートする」から、
  Dynamics CRMのフェデレーション・メタデータのURLを入力する。
  • 内部アクセスの場合
    http://内部サーバー名:ポート/FederationMetadata?/2007-06/FederationMetadata?.xml
  • IFDアクセスの場合
    http://外部名/FederationMetadata?/2007-06/FederationMetadata?.xml

• 「表示名の指定」ページで表示名を入力
• 「発行承認規則の選択」ページで「すべてのユーザに対してこの証明書利用へのアクセスを許可する」をオンにする。
• , etc.

証明書利用者信頼の要求規則の追加 †

• 要求規則を記述する。
  • ADFSの
    • 要求に適用される条件
    • 承諾される入力方向の要求
    • 発行される出力方向の要求

• ３つの要求規則が必要。
  • UPNパススルー
  • プライマリSIDパススルー
  • Windowsアカウント名を名前に変換

• 手順
  • ADFS管理コンソールで「証明書利用者信頼」に移動し、
    「証明書利用者信頼」を右クリックし「要求規則の編集」をクリック。

テンプレ †

• 「要求規則の編集」のページで「規則の追加」をクリックする。
• 「変換要求規則の追加ウィザード」ページで「AAA」する。
• 要求規則名ボックスに「BBB」と入力する。
• 入力方向の要求の種類で「CCC」を選択する。
• 出力方向の要求の種類で「DDD」を選択する。
• すべての要求値をパススルーするオプションを選択する。
• 「完了」をクリックする。

UPNパススルー †

• AAA：「入力方向の要求をパススルーまたはフィルター処理」を選択し「次へ」をクリックする。
• BBB：UPNパススルー（もしくはは同等の語句）
• CCC：UPN
• DDD：－

プライマリSIDパススルー †

• AAA：「入力方向の要求をパススルーまたはフィルター処理」を選択し「次へ」をクリックする。
• BBB：プライマリSIDパススルー（もしくはは同等の語句）
• CCC：プライマリSID
• DDD：－

Windowsアカウント名を名前に変換 †

• AAA：「要求規則テンプレート」で「入力方向の要求を変換」を選択し「次へ」をクリックする。
• BBB：Windowsアカウント名を名前に変換（もしくはは同等の語句）
• CCC：Windowsアカウント名
• DDD：名前

IFDの構成 †

展開マネージャで構成 †

展開マネージャでインターネットに接続する展開の構成ウィザードを開始

ウィザードを開始 †

以下のいずれかの方法でウィザードを開始

• 「操作」ウィンドウで「インターネットに接続する展開の構成」をクリック
• 「タスク」ウィンドウで「インターネットに接続する展開の構成」をクリック
• コンソール・ツリーで「Microsoft Dynamics CRM」を右クリックして「インターネットに接続する展開の構成」をクリック
• 「操作」プルダウン・メニューで「インターネットに接続する展開の構成」をクリック

ドメイン名 †

「ドメイン」ページで次のドメインを入力。
DNSレコード]参照

• Webアプリケーション
  • 外部ドメイン名
  • contoso.com

• 組織レコード
  • 外部ドメイン名
  • contoso.com

• 組織に接続するには外部ドメイン名の前に組織名をつける（？なにこれ？）。
  • contosoinc.contoso.com

• 検出 Web サービス
  • 検出 Web サービスのホスト名
  • dev.contoso.com

• 443以外のポートを使用する場合、
  そのポート番号をドメイン名に付加する必要がある。
  • contoso.com:444など。

外部ドメイン名 †

「外部ドメイン」ページで次の外部URLを入力。
DNSレコード]参照

• Webアプリケーション
  • 外部ドメイン名（外部URL）
  • auth.contoso.com

• 443以外のポートを使用する場合、
  そのポート番号をドメイン名に付加する必要がある。
  • contoso.com:444など。

システムのチェック †

選択内容の確認 †

IFDの無効化 †

PowerShellで構成 †

http://www.firebrandtraining.dk/pdf/learn/microsoft/dynamics-crm-2015-courseware.pdf

コマンドレットの追加 †

Add-PSSnapin Microsoft.Crm.PowerShell

クレームベース認証を有効にする。 †

#Get the current settings into a variable
$IFDSettings = Get-CrmSetting ifdsettings
#Set the enabled parameter to true
$IFDSettings.Enabled = $true
#Set the IFD Domain Values
$IFDSettings.DiscoveryWebServiceRootDomain="dev.contoso.com"
$IFDSettings.ExternalDomain="auth.contoso.com"
$IFDSettings.OrganizationWebServiceRootDomain="contoso.com"
$IFDSettings.WebApplicationRootDomain="contoso.com"
#Enable claims-based authentication
Set-CrmSetting $IFDSettings

IFDアクセスに対する証明書利用者信頼の追加 †

証明書利用者信頼の追加の（IFDアクセスの場合）の手順を実行。

参考 †

ADFSでのクレームベース認証 †

以下のように説明されている。

Microsoft Dynamics CRM >> Active Directory およびクレームベース認証
https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx

Security Assertion Markup Language (SAML) トークンの

• パッシブ モード (Microsoft Dynamics CRM, CRM Onlineで WS-Federation を使用する場合) または
• アクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合)

での使用を規定する一連の WS-* 標準です。

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.060 sec.