- 追加された行はこの色です。
- 削除された行はこの色です。
Open棟梁Project - マイクロソフト系技術情報 Wiki
-[[戻る>CRMのインストールと構成]]
* 目次 [#q84dae9b]
#contents
*概要 [#e461100f]
CRMインターネット展開用の構成~
IFD:Internet Facing Deployment
**要件 [#v2442526]
Internet経由でのアクセスの場合に必要になる。
-ブラウザー経由
-Outlook用Microsoft Dynamics CRM経由
**構成 [#l249c4bf]
-ポート転送などはサポートされていない。
-ケルベロス認証(イントラネット)か、
-[[クレームベース認証]](インターネット)
*要件 [#m04366fd]
**[[クレームベース認証]] [#c0f1531b]
[[クレームベース認証]]でサポートする[[STS>クレームベース認証#h4a44b62]]
-WS-Trust v1.3
-[[ADFS>フェデレーション サービス (AD FS)]]の
--v2.0 : Windows Server 2008 R2 別途ダウンロードしてインストール
--v2.1 : Windows Server 2012 に同梱
--v2.2 : Windows Server 2012 R2 に同梱
**Webサイト [#kcb8f402]
***バインディング [#d634955b]
-HTTPSバインディング
-単一のバインディング(HTTP+HTTPSはNG)
***[[ADFS>フェデレーション サービス (AD FS)]]同居の場合 [#zdfb3a8d]
-[[ADFS>フェデレーション サービス (AD FS)]]が使用するのでCRMで「既定のWebサイト」(80番ポート)は使用しない。
-ただし、HTTPSバインディングの443番ポートはCRMで使用したいので、[[ADFS>フェデレーション サービス (AD FS)]]が使用する「既定のWebサイト」の~
HTTPSバインディングのポートを443番ポートから(444番等へ)変更しておく。これは、[[ADFS>フェデレーション サービス (AD FS)]]のインストールの前に行っておく。
**DNSレコード [#t67883b3]
***[[ADFS>フェデレーション サービス (AD FS)]] [#se50d41a]
-sts.contoso.com
***検出Webサービス [#a4c3fbb1]
-contosonic.contoso.com
***検出 Web サービス [#n6d3388e]
-dev.contoso.com
***Webアプリケーション [#fe26d3fb]
-auth.contoso.com
*証明書 [#f43fa113]
デジタル証明書、公開キー証明書
**[[ADFS>フェデレーション サービス (AD FS)]] [#l86c070a]
フェデレーション サーバーのための証明要件~
https://technet.microsoft.com/ja-jp/library/Gg308501.aspx
***サービス通信証明書 [#wab0d70b]
-[[STS>クレームベース認証#h4a44b62]]のWebサイト(sts.contoso.com)の証明書
-IIS で使用する SSL 証明書と同じ証明書
***トークン証明書([[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成) [#oa221c86]
-メタデータの署名
-[[SAML]]トークンの署名
***トークン解読証明書([[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成) [#e8c2ab55]
-[[SAML]]トークンの解読
-既定の解読証明書として IIS の SSL 証明書を使用する。
**CRM [#a40c6829]
***Webサイト暗号証明書 [#ke089d26]
-CRMのWebサイトの証明書
-内部名・外部名を使用してアクセスされる場合、~
サブジェクトの別名に対応したSSLサーバ証明書を使用
-CRM Webサーバーの役割を複数のコンピュータにインストールする場合、~
ワイルドカードに対応したSSLサーバ証明書を使用
***クレーム暗号証明書 [#ld870d92]
-CRMとSTS間のデータ暗号化。
-[[フロントの役割>CRMのサーバ機能#jc08216b]]の全てにインストール。
-CRMの[[Webサイト暗号証明書>#ke089d26]]と同じものでも良い。
-[[フロントエンドの役割>CRMのサーバ機能#jc08216b]]の全てにインストール。
**CRMAppPool [#uab39e8c]
-CRM Webサーバーの役割の[[実行アカウント>サービス・タスク系のいろいろ#ib21db08]]であるCRMAppPoolは、~
クレーム暗号証明書の秘密鍵に対する読み取りアクセス許可が必要。~
-[[管理ツール>マイクロソフト管理コンソール(MMC)]]の[[証明書スナップイン>マイクロソフト管理コンソール(MMC)#leb0cc60]]を使用して、暗号証明書に対する読み取りアクセス許可を追加する。
**証明書の更新 [#f93f9e05]
-有効期限切れの1ヶ月前には更新する計画を立てる。
-[[ADFS>フェデレーション サービス (AD FS)]]が初期構成時に生成する証明書は自動更新。
--トークン証明書
--トークン解読証明書
*[[ADFS>フェデレーション サービス (AD FS)]] 2.0 [#j9a85692]
*[[ADFS>フェデレーション サービス (AD FS)]] 2.0の初期構成 [#j9a85692]
**前提条件 [#ne04a873]
前提条件のソフトウェア
-PowerShell
-.NET 3.5 SP1
-IIS
-WIF
**準備 [#a714474b]
-ADFSの外部名(e.g.:sts.contoso.com)を指しているサービス通信証明書を~
-[[ADFS>フェデレーション サービス (AD FS)]]の外部名(e.g.:sts.contoso.com)を指しているサービス通信証明書を~
ウィザードの開始前にWebサイト上にインストールしておく必要がある。
**インストール [#na61f952]
-ウィザードの起動
-スタンドアロン フェデレーションサーバー
-フェデレーションサービス名で証明書の選択
**構成 [#t8d66321]
***要求プロバイダー信頼の構成 [#f4d136f9]
-要求プロバイダー信頼が自動的に追加
-要求規則を要求プロバイダー信頼に追加
--[[Active Directory>ドメイン サービス (AD DS)]]の要求規則の編集→規則の追加
--要求規則テンプレート→LDAP属性を要求として送信
--規則の構成
---要求規則名:[[UPN]]要求規則
---属性のストア:[[Active Directory>ドメイン サービス (AD DS)]]
---LDAP属性:[[User-Principal-Name>UPN]]
---出力方向の要求の種類:[[UPN]]
*[[Dynamics CRM]] [#v96adb3f]
*[[Dynamics CRM]]で[[クレームベース認証]]を構成 [#q311f515]
**[[Dynamics CRM]]で[[クレームベース認証]]を構成 [#ecb51c96]
-[[展開マネージャ>CRMの展開マネージャを使用した管理#pbc49393]]で[[クレームベース認証]]を有効にする。
-[[Dynamics CRM]]のための証明書利用者信頼を追加する。
-構成すると自動的に有効になり、内部アクセスと外部アクセスに適用される。
**構成 [#wd79833d]
***[[展開マネージャ>CRMの展開マネージャを使用した管理#pbc49393]]で構成 [#ffac127c]
-以下のいずれかの方法でウィザードを開始
--「操作」ウィンドウで「[[クレームベース認証]]の構成を」クリック
--「タスク」ウィンドウで「[[クレームベース認証]]の構成を」クリック
--コンソール・ツリーで「Microsoft [[Dynamics CRM]]」を右クリックして「[[クレームベース認証]]の構成を」クリック
--「操作」プルダウン・メニューで「[[クレームベース認証]]の構成を」クリック
-ウィザード
--「セキュリティトークンサービスを指定します」のページで、~
[[STS>クレームベース認証#h4a44b62]]のフェデレーション・メタデータのURLを入力する。~
https://sts.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml
--「暗号証明書」を指定しますページで[[クレーム暗号証明書>#ld870d92]]を選択。
---事前に、[[フロントの役割>CRMのサーバ機能#jc08216b]]の全てにインストールしておく。
--システムのチェック
--選択内容の確認
---[[Dynamics CRM]]のフェデレーション・メタデータのURLをメモする。~
[[ADFS>フェデレーション サービス (AD FS)]]に信頼されている証明書利用者として[[Dynamics CRM]]を追加する時に使用する。
***[[PowerShell]]で構成 [#o9057dd0]
Windows PowerShell を使用した展開の管理~
https://technet.microsoft.com/ja-jp/library/Dn531202.aspx
-コマンドレットの追加
Add-PSSnapin Microsoft.Crm.PowerShell
-[[クレームベース認証]]を有効にする。
#Get the current settings into a variable
$ClaimsSettings = Get-CrmSetting claimssettings
#Set the enabled parameter to true
$ClaimsSettings.Enabled = $true
#Set the Encryption certificate and the Federation Metadata URL
$ClaimsSettings.EncryptionCertificate = "CN=*.contoso.com, OU=Domain Control Validated, O=*.contoso.com"
$ClaimsSettings.FederationMetadataUrl = "https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml"
#Enable claims-based authentication
Set-CrmSetting $ClaimSettings
*[[ADFS>フェデレーション サービス (AD FS)]] 2.0の証明書利用者信頼 [#i3b58ef9]
**証明書利用者信頼の追加 [#y88f4ae8]
[[Dynamics CRM]]の[[クレームベース認証]]が有効になった後、~
[[Dynamics CRM]]の証明書利用者信頼を[[ADFS>フェデレーション サービス (AD FS)]]に追加する。
-IFDアクセスのみ、内部アクセスのみの場合、証明書利用者信頼は1つだけ。
-IFDアクセスと内部アクセスの場合、2つの証明書利用者信頼が必要。
***ウィザート [#r3541c09]
[[ADFS>フェデレーション サービス (AD FS)]]管理コンソールの「操作」ウィンドウで~
「証明書利用者信頼の追加」をクリックし、ウィザートで次の手順を実行。
-「データソースの選択」の~
「オンラインまたはローカルネットワークで公開されている証明書利用者についてのデータをインポートする」から、~
[[Dynamics CRM]]のフェデレーション・メタデータのURLを入力する。
--内部アクセスの場合~
http://内部サーバー名:ポート/FederationMetadata/2007-06/FederationMetadata.xml
--IFDアクセスの場合~
http://外部名/FederationMetadata/2007-06/FederationMetadata.xml
-「表示名の指定」ページで表示名を入力
-「発行承認規則の選択」ページで「すべてのユーザに対してこの証明書利用へのアクセスを許可する」をオンにする。
-, etc.
**証明書利用者信頼の要求規則の追加 [#waf77c20]
要求規則を記述する。
-[[ADFS>フェデレーション サービス (AD FS)]]によって
--承諾される入力方向の要求
--要求に適用される条件
--発行される出力方向の要求
-3つの要求規則が必要。
--UPNパススルー
--プライマリSIDパススルー
--Windowsアカウント名を名前に変換
-[[ADFS>フェデレーション サービス (AD FS)]]管理コンソールで証明書利用者信頼に移動し、~
証明書利用者信頼を右クリックし要求規則の編集をクリック。
***UPNパススルー [#q81e834d]
***プライマリSIDパススルー [#i7b8eb95]
***Windowsアカウント名を名前に変換 [#d2383c1a]
*参考 [#k0643495]
**[[ADFS>フェデレーション サービス (AD FS)]]での[[クレームベース認証]] [#v0581167]
以下のように説明されている。
Microsoft Dynamics CRM >> Active Directory およびクレームベース認証~
https://msdn.microsoft.com/ja-jp/library/Gg334502.aspx
>Security Assertion Markup Language (SAML) トークンの
-パッシブ モード (Microsoft Dynamics CRM, CRM Onlineで WS-Federation を使用する場合) または
-アクティブ モード (Windows Communication Foundation (WCF) クライアントで WS-Trust を使用する場合)
>での使用を規定する一連の WS-* 標準です。