Open棟梁Project - マイクロソフト系技術情報 Wiki -[[戻る>CRMのインストールと構成]] * 目次 [#q84dae9b] #contents *概要 [#e461100f] CRMインターネット展開用の構成~ IFD:Internet Facing Deployment **要件 [#v2442526] Internet経由でのアクセスの場合に必要になる。 -ブラウザー経由 -Outlook用Microsoft Dynamics CRM経由 **構成 [#l249c4bf] -ポート転送などはサポートされていない。 -ケルベロス認証(イントラネット)か、 -[[クレームベース認証]](インターネット) *要件 [#m04366fd] **[[クレームベース認証]] [#c0f1531b] [[クレームベース認証]]でサポートする[[STS>クレームベース認証#h4a44b62]] -WS-Trust v1.3 -[[ADFS>フェデレーション サービス (AD FS)]]の --v2.0 : Windows Server 2008 R2 別途ダウンロードしてインストール --v2.1 : Windows Server 2012 に同梱 --v2.2 : Windows Server 2012 R2 に同梱 **Webサイト [#kcb8f402] ***バインディング [#d634955b] -HTTPSバインディング -単一のバインディング(HTTP+HTTPSはNG) ***[[ADFS>フェデレーション サービス (AD FS)]]同居の場合 [#zdfb3a8d] -[[ADFS>フェデレーション サービス (AD FS)]]が使用するのでCRMで「既定のWebサイト」(80番ポート)は使用しない。 -ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、[[ADFS>フェデレーション サービス (AD FS)]]が使用する「既定のWebサイト」の~ HTTPSバインディングのポートを443番ポートから(444番等へ)変更しておく。これは、[[ADFS>フェデレーション サービス (AD FS)]]のインストールの前に行っておく。 **DNSレコード [#t67883b3] ***[[ADFS>フェデレーション サービス (AD FS)]] [#se50d41a] -sts.contoso.com ***検出Webサービス [#a4c3fbb1] -contosonic.contoso.com ***検出 Web サービス [#n6d3388e] -dev.contoso.com ***Webアプリケーション [#fe26d3fb] -auth.contoso.com *証明書 [#f43fa113] デジタル証明書、公開キー証明書 **[[ADFS>フェデレーション サービス (AD FS)]] [#l86c070a] フェデレーション サーバーのための証明要件~ https://technet.microsoft.com/ja-jp/library/Gg308501.aspx ***サービス通信証明書 [#wab0d70b] -[[STS>クレームベース認証#h4a44b62]]のWebサイト(sts.contoso.com)の証明書 -IIS で使用する SSL 証明書と同じ証明書 ***トークン証明書([[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成) [#oa221c86] -メタデータの署名 -[[SAML]]トークンの署名 ***トークン解読証明書([[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成) [#e8c2ab55] -[[SAML]]トークンの解読 -既定の解読証明書として IIS の SSL 証明書を使用する。 **CRM [#a40c6829] ***Webサイト暗号証明書 [#ke089d26] -CRMのWebサイトの証明書 -内部名・外部名を使用してアクセスされる場合、~ サブジェクトの別名に対応したSSLサーバ証明書を使用 -CRM Webサーバーの役割を複数のコンピュータにインストールする場合、~ ワイルドカードに対応したSSLサーバ証明書を使用 ***クレーム暗号証明書 [#ld870d92] -CRMとSTS間のデータ暗号化。 -[[フロントの役割>CRMのサーバ機能#jc08216b]]の全てにインストール。 **CRMAppPool [#uab39e8c] -CRM Webサーバーの役割の[[実行アカウント>サービス・タスク系のいろいろ#ib21db08]]であるCRMAppPoolは、~ クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。~ -[[管理ツール>マイクロソフト管理コンソール(MMC)]]の[[証明書スナップイン>マイクロソフト管理コンソール(MMC)#leb0cc60]]を使用して、暗号証明書に対する読み取りアクセス許可を追加する。 **証明書の更新 [#f93f9e05] -有効期限切れの1ヶ月前には更新する計画を立てる。 -[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成する証明書は自動更新。 --トークン証明書 --トークン解読証明書 *[[ADFS>フェデレーション サービス (AD FS)]] 2.0 [#j9a85692] **前提条件 [#ne04a873] 前提条件のソフトウェア -PowerShell -.NET 3.5 SP1 -IIS -WIF **準備 [#a714474b] -ADFSの外部名(e.g.:sts.contoso.com)を指しているサービス通信証明書を~ ウィザードの開始前にWebサイト上にインストールしておく必要がある。 **インストール [#na61f952] -ウィザードの起動 -スタンドアロン フェデレーションサーバー -フェデレーションサービス名で証明書の選択 **構成 [#t8d66321] ***要求プロバイダー信頼の構成 [#f4d136f9] -要求プロバイダー信頼が自動的に追加 -要求規則を要求プロバイダー信頼に追加 --[[Active Directory>ドメイン サービス (AD DS)]]の要求規則の編集→規則の追加 --要求規則テンプレート→LDAP属性を要求として送信 --規則の構成 ---要求規則名:[[UPN]]要求規則 ---属性のストア:[[Active Directory>ドメイン サービス (AD DS)]] ---LDAP属性:[[User-Principal-Name>UPN]] ---出力方向の要求の種類:[[UPN]] *[[Dynamics CRM]] [#v96adb3f] **[[Dynamics CRM]]で[[クレームベース認証]]を構成 [#ecb51c96] -[[展開マネージャ>CRMの展開マネージャを使用した管理#pbc49393]]で[[クレームベース認証]]を有効にする。 -[[Dynamics CRM]]のための証明書利用者信頼を追加する。 -構成すると自動的に有効になり、内部アクセスと外部アクセスに適用される。 *参考 [#k0643495] **[[ADFS>フェデレーション サービス (AD FS)]]での[[クレームベース認証]] [#v0581167] 以下のように説明されている。 Microsoft Dynamics CRM >> Active Directory およびクレームベース認証~ https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx >Security Assertion Markup Language (SAML) トークンの -パッシブ モード (Microsoft Dynamics CRM, CRM Onlineで WS-Federation を使用する場合) または -アクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合) >での使用を規定する一連の WS-* 標準です。