CRMインターネット展開用の構成（IFD） のバックアップ差分(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• CRMインターネット展開用の構成（IFD） へ行く。
  • 1 (2015-05-06 (水) 01:27:49)
  • 2 (2015-07-28 (火) 01:27:14)
  • 3 (2015-08-02 (日) 02:27:43)
  • 4 (2015-08-02 (日) 13:12:09)
  • 5 (2015-08-02 (日) 19:12:13)
  • 6 (2015-08-02 (日) 22:15:51)
  • 7 (2015-08-03 (月) 00:34:23)
  • 8 (2015-08-04 (火) 03:27:29)
  • 9 (2015-08-06 (木) 23:44:00)
  • 10 (2015-08-09 (日) 15:16:13)
  • 11 (2015-08-13 (木) 14:54:32)
  • 12 (2016-01-26 (火) 13:13:11)
  • 13 (2017-01-12 (木) 16:41:38)
  • 14 (2017-02-27 (月) 22:53:53)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

Open棟梁Project - マイクロソフト系技術情報 Wiki

-[[戻る>CRMのインストールと構成]]

* 目次 [#q84dae9b]
#contents

*概要 [#e461100f]
-CRMインターネット展開用の構成~
CRMインターネット展開用の構成~
IFD：Internet Facing Deployment

-Internet経由でのアクセスの場合に必要になる。
--ブラウザー経由
--Outlook用Microsoft Dynamics CRM経由
**要件 [#v2442526]
Internet経由でのアクセスの場合に必要になる。
-ブラウザー経由
-Outlook用Microsoft Dynamics CRM経由

-構成
--ポート転送などはサポートされていない。
--ケルベロス認証（イントラネット）か、
--[[クレームベース認証]]（インターネット）
**構成 [#l249c4bf]
-ポート転送などはサポートされていない。
-ケルベロス認証（イントラネット）か、
-[[クレームベース認証]]（インターネット）

*要件 [#m04366fd]

**[[クレームベース認証]] [#c0f1531b]
[[クレームベース認証]]でサポートする[[STS>クレームベース認証#h4a44b62]]

-WS-Trust v1.3
-[[ADFS>フェデレーション サービス (AD FS)]]のv2.0、2.1、2.2
-[[ADFS>フェデレーション サービス (AD FS)]]の
--v2.0 : Windows Server 2008 R2 別途ダウンロードしてインストール
--v2.1 : Windows Server 2012 に同梱
--v2.2 : Windows Server 2012 R2 に同梱

**Webサイト [#kcb8f402]
-バインディング
--HTTPSバインディング
--単一のバインディング（HTTP+HTTPSはNG）
***バインディング [#d634955b]
-HTTPSバインディング
-単一のバインディング（HTTP+HTTPSはNG）

-[[ADFS>フェデレーション サービス (AD FS)]]同居の場合
--[[ADFS>フェデレーション サービス (AD FS)]]が使用するのでCRMで「既定のWebサイト」（80番ポート）は使用しない。
--ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、~
「既定のWebサイト」のHTTPSバインディングのポートを443番ポートから変更しておく。~
これは、[[ADFS>フェデレーション サービス (AD FS)]]インストール前に行っておく。
***[[ADFS>フェデレーション サービス (AD FS)]]同居の場合 [#zdfb3a8d]
-[[ADFS>フェデレーション サービス (AD FS)]]が使用するのでCRMで「既定のWebサイト」（80番ポート）は使用しない。
-ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、[[ADFS>フェデレーション サービス (AD FS)]]が使用する「既定のWebサイト」の~
HTTPSバインディングのポートを443番ポートから（444番等へ）変更しておく。これは、[[ADFS>フェデレーション サービス (AD FS)]]のインストールの前に行っておく。

**DNSレコード [#t67883b3]
-[[ADFS>フェデレーション サービス (AD FS)]]
--sts.contoso.com
-検出Webサービス
--contosonic.contoso.com
-検出 Web サービス
--dev.contoso.com
-Webアプリケーション
--auth.contoso.com
***[[ADFS>フェデレーション サービス (AD FS)]] [#se50d41a]
-sts.contoso.com
***検出Webサービス [#a4c3fbb1]
-contosonic.contoso.com
***検出 Web サービス [#n6d3388e]
-dev.contoso.com
***Webアプリケーション [#fe26d3fb]
-auth.contoso.com

*証明書 [#f43fa113]
デジタル証明書、公開キー証明書

**[[ADFS>フェデレーション サービス (AD FS)]] [#l86c070a]
-サービス通信証明書
--[[STS>クレームベース認証#h4a44b62]]のWebサイト(sts.contoso.com)の証明書
フェデレーション サーバーのための証明要件~
https://technet.microsoft.com/ja-jp/library/Gg308501.aspx

-トークン証明書（[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成）
--メタデータの署名
--[[SAML]]トークンの署名
***サービス通信証明書 [#wab0d70b]
-[[STS>クレームベース認証#h4a44b62]]のWebサイト(sts.contoso.com)の証明書
-IIS で使用する SSL 証明書と同じ証明書

-トークン解読証明書（[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成）
***トークン証明書（[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成） [#oa221c86]
-メタデータの署名
-[[SAML]]トークンの署名

***トークン解読証明書（[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成） [#e8c2ab55]
-[[SAML]]トークンの解読
-既定の解読証明書として IIS の SSL 証明書を使用する。

**CRM [#a40c6829]

-Webサイト暗紅証明書
***Webサイト暗号証明書 [#ke089d26]

--CRMのWebサイトの証明書
-CRMのWebサイトの証明書

--内部名・外部名を使用してアクセスされる場合、~
-内部名・外部名を使用してアクセスされる場合、~
サブジェクトの別名に対応したSSLサーバ証明書を使用

--CRM Webサーバーの役割を複数のコンピュータにインストールする場合、~
-CRM Webサーバーの役割を複数のコンピュータにインストールする場合、~
ワイルドカードに対応したSSLサーバ証明書を使用

-クレーム暗号証明書
--CRMとSTS間のデータ暗号化。
--[[フロントの役割>CRMのサーバ機能#jc08216b]]の全てにインストール。
***クレーム暗号証明書 [#ld870d92]
-CRMとSTS間のデータ暗号化。
-[[フロントの役割>CRMのサーバ機能#jc08216b]]の全てにインストール。

**CRMAppPool [#uab39e8c]
CRM Webサーバーの役割の[[実行アカウント>サービス・タスク系のいろいろ#ib21db08]]であるCRMAppPoolは、~
-CRM Webサーバーの役割の[[実行アカウント>サービス・タスク系のいろいろ#ib21db08]]であるCRMAppPoolは、~
クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。~
[[管理ツール>マイクロソフト管理コンソール（MMC）]]の[[証明書スナップイン>マイクロソフト管理コンソール（MMC）#leb0cc60]]を使用して、暗号証明書に対する読み取りアクセス許可を追加する。

-[[管理ツール>マイクロソフト管理コンソール（MMC）]]の[[証明書スナップイン>マイクロソフト管理コンソール（MMC）#leb0cc60]]を使用して、暗号証明書に対する読み取りアクセス許可を追加する。

**証明書の更新 [#f93f9e05]
-有効期限切れの１ヶ月前には更新する計画を立てる。

-[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成する証明書は自動更新。
--トークン証明書
--トークン解読証明書

*[[ADFS>フェデレーション サービス (AD FS)]] 2.0 [#j9a85692]

**前提条件 [#ne04a873]
前提条件のソフトウェア
-PowerShell
-.NET 3.5 SP1
-IIS
-WIF

**準備 [#a714474b]
-ADFSの外部名（e.g.:sts.contoso.com）を指しているサービス通信証明書を~
ウィザードの開始前にWebサイト上にインストールしておく必要がある。

**インストール [#na61f952]
-ウィザードの起動
-スタンドアロン フェデレーションサーバー
-フェデレーションサービス名で証明書の選択

**構成 [#t8d66321]
***要求プロバイダー信頼の構成 [#f4d136f9]
-要求プロバイダー信頼が自動的に追加
-要求規則を要求プロバイダー信頼に追加
--[[Active Directory>ドメイン サービス (AD DS)]]の要求規則の編集→規則の追加
--要求規則テンプレート→LDAP属性を要求として送信
--規則の構成
---要求規則名：[[UPN]]要求規則
---属性のストア：[[Active Directory>ドメイン サービス (AD DS)]]
---LDAP属性：[[User-Principal-Name>UPN]]
---出力方向の要求の種類：[[UPN]]

*[[Dynamics CRM]] [#v96adb3f]

**[[Dynamics CRM]]で[[クレームベース認証]]を構成 [#ecb51c96]

-[[展開マネージャ>CRMの展開マネージャを使用した管理#pbc49393]]で[[クレームベース認証]]を有効にする。
-[[Dynamics CRM]]のための証明書利用者信頼を追加する。
-構成すると自動的に有効になり、内部アクセスと外部アクセスに適用される。

*参考 [#k0643495]
**[[ADFS>フェデレーション サービス (AD FS)]]での[[クレームベース認証]] [#v0581167]
以下のように説明されている。

Active Directory およびクレームベース認証~
Microsoft Dynamics CRM >> Active Directory およびクレームベース認証~
https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx

>Security Assertion Markup Language (SAML) トークンのパッシブ モード (Microsoft Dynamics CRM 2015 および Microsoft Dynamics CRM Online 2015 更新プログラム Web アプリケーションで WS-Federation を使用する場合) またはアクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合) での使用を規定する一連の WS-* 標準です。
>Security Assertion Markup Language (SAML) トークンの
-パッシブ モード (Microsoft Dynamics CRM, CRM Onlineで WS-Federation を使用する場合) または
-アクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合) 

>での使用を規定する一連の WS-* 標準です。

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.016 sec.