DFS安装配置好后就要开始配置CRM基于内部认证访问的配置,即使用HTTPS在CRM服务器进行访问的设置。
在CRM服务器中找到Dynamic CRM部署管理器,开始菜单选择Dynamic CRM部署管理器
打开后点击右侧菜单属性
切到WEB地址输入INTERNALCRM.你的域名.COM,红色部分为域,替换成自己创建的域就可以了。这里没有加端口是因为CRM服务器IIS配置的HTTPS网站是443端口,不需要输入,如果有独立配置端口的话要把非443的端口号配上'
IIS设置https网站,打开CRM服务器的IIS,找到CRM的网站,点击右边的绑定
点击添加,在弹出的窗口里面更改类型为HTTPS,然后加上你要配置的端口,下面选取要绑定的安全证书,点确定
端口已经加好了
在部署管理器中选择配置基于声明的身份验证
下一步
将安装ADFS时验证的链接贴到联合元数据里面,在点下一步之前先把该链接放到CRM服务器试一下能不能打开不能打开的话要把AD和CRM服务器重启一下后再次验证,
验证ADFS链接在CRM服务器是否有效,有效的话上一个页面点下一步
选择证书
默认下一步
默认下一步
默认,应用
应用完成后打开查看日志
把打开的TXT翻到最后面,拷出其中的链接:https://internalcrm.你的域名.com/FederationMetadata/2007-06/FederationMetadata.xml一会儿在ADFS配置信任方的时候会用到,拷出来后点完成。
接下来到ADFS服务器进行信任方的配置
到ADFS服务器中的服务器管理中的工具打开ADFS管理
在ADFS管理界面里面选择声明提供方信任,在右边的Active Directory右键,选择编辑声明规则
添加规则
选择以声明方式发送LDAP特性,下一步
在声明规则名称中填写LDAP UPN Claim Rule,特性存储选择Activity Directory,列表里面第一列选择User-Principal-Name,第二列选择UPN,点完成
点击应用确定
选择信赖方信任右键点击添加信赖方信任
点击启动
将配置完CRM基于声明的身份验证最后拷出来的链接填到下面的框中
https://internalcrm.你的域名.com/FederationMetadata/2007-06/FederationMetadata.xml
同样,要现在ADFS的服务器的浏览器去打开一下验证一下是否可以打开,如果打不开的话将ADFS服务器和CRM服务器重启后再试。直到可以打开为止。之后点击下一步
为内部信赖方取一个名字下一步
默认下一步,千万不要勾那个勾否则会导致登录权限不足的问题
默认,下一步
完成后关闭
在添加好的信任中,右键选择编辑声明颁发策略
点击添加规则
选择经历或筛选传入声明,下一步
为规则起一个名字后,下面传入声明类型选择UPN
继续添加第二个规则,同样选择经历或筛选传入声明,下一步
为声明名称取一个名字后在传入声明类型中选择主SID,点击完成
继续添加第三个规则,选择转换传入声明,下一步
为声明规则名称取一个名字后,选择传入声明类型为Windows 账户名,传出声明类型选择名称点完成
三个规则加好后就可以应用点击确定了
在PowerSheell中打开spn,打开Windows PowerShell
在PowerShell中键入以下命令setspn -s http/tp/sts1.你的域名.com 你的域名\你的机器名$
接下来进行主身份验证,点开服务->身份验证方法,点击右侧主身份验证方法下面的编辑
确认是否勾上了表单身份验证,之后点击确定
之后再Ad服务器浏览器里面输入网址:https://internalcrm.你的域名.com/,输入用户名和密码查看是否配置成功
看到如下界面,说明CRM内部访问的安全配置成功
至此基于内部访问认证的配置完成