Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
- CRMインターネット展開用の構成
IFD:Internet Facing Deployment
- Internet経由でのアクセスの場合に必要になる。
- ブラウザー経由
- Outlook用Microsoft Dynamics CRM経由
- 構成
- ポート転送などはサポートされていない。
- ケルベロス認証(イントラネット)か、
- クレームベース認証(インターネット)
要件 †
クレームベース認証でサポートするSTS
- WS-Trust v1.3
- ADFSのv2.0、2.1、2.2
Webサイト †
- バインディング
- HTTPSバインディング
- 単一のバインディング(HTTP+HTTPSはNG)
- ADFS同居の場合
- ADFSが使用するのでCRMで「既定のWebサイト」(80番ポート)は使用しない。
- ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、
「既定のWebサイト」のHTTPSバインディングのポートを443番ポートから変更しておく。
これは、ADFSインストール前に行っておく。
DNSレコード †
- ADFS
- 検出Webサービス
- 検出 Web サービス
- Webアプリケーション
証明書 †
デジタル証明書、公開キー証明書
- サービス通信証明書
- STSのWebサイト(sts.contoso.com)の証明書
CRM †
- 内部名・外部名を使用してアクセスされる場合、
サブジェクトの別名に対応したSSLサーバ証明書を使用
- CRM Webサーバーの役割を複数のコンピュータにインストールする場合、
ワイルドカードに対応したSSLサーバ証明書を使用
- クレーム暗号証明書
- CRMとSTS間のデータ暗号化。
- フロントの役割の全てにインストール。
CRMAppPool? †
CRM Webサーバーの役割の実行アカウントであるCRMAppPool?は、
クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。
管理ツールの証明書スナップインを使用して、暗号証明書に対する読み取りアクセス許可を追加する。
証明書の更新 †
- 有効期限切れの1ヶ月前には更新する計画を立てる、
- ADFSが初期構成時に生成する証明書は自動更新
参考 †
以下のように説明されている。
Active Directory およびクレームベース認証
https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx
Security Assertion Markup Language (SAML) トークンのパッシブ モード (Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新プログラム Web アプリケーションで WS-Federation を使用する場合) またはアクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合) での使用を規定する一連の WS-* 標準です。