ADFS&IFD
Vic.Tang
Microsoft Dynamics 365 认证专家、MVP、MCT;Base上海,长期从事咨询、实施顾问、系统架构、培训;熟悉PowerPlatForm(PowerApps,Power Automate,MDA), Dynamics 365 Online(On-Premises),Dynamics CRM2016,Dynamics CRM2015,Dynamics CRM2013,Dynamics CRM2011,Dynamics CRM4.0, 咨询、培训、开发与实施经验丰富;承接产品应用、技术培训及其他合作;欢迎圈内朋友沟通交流;联系邮箱VicTang1104@outlook.com
展开
-
Dynamics 365 基于RedHat Keycloak的SSO配置二
本篇要介绍的是如何在Keycloak端进行设置,下面是KeyCloak后台设置的截图分享原创 2020-11-29 13:37:47 · 607 阅读 · 2 评论 -
Dynamics 365 基于RedHat Keycloak的SSO配置三
本篇接着上篇来分享下配置SSO过程中遇到的一个报错,其中错误如下,RedHat收到了request后返回了下图的这么个authentication,其中看到的标黄部分无法被ADFS所识别,所以不被接受 而正确的回传格式应该是下面这样的,最后是KeyCloak端修改后确保传给ADFS的是可被识别的AuthnContext. 关于RequestedAuthnContext可参考链接1和链接2...原创 2020-11-30 16:53:04 · 560 阅读 · 3 评论 -
AD FS – Migrating ADFS configuration Database from WID to SQL
AD FS – Migrating ADFS configuration Database from WID to SQL using SSMS两种情况会用到一种是要做数据库迁移一种是安装的时候用的WID,但要做负载高可用需要迁移到SQL DB上转载 2021-12-01 09:36:00 · 705 阅读 · 0 评论 -
Dynamics 365 IFD设置反向代理后无法跳转登录页的解决方法
对应实际客户应用环境,不会把服务器直接暴露与公网,经常会通过代理分发的方式实现,而CRM的多服务器部署时,前端的网络负载均衡也经常是类似的方案。本篇要分享的是环境已经在内网部署IFD的情况下,需要把external domain name对公网开放,而客户只提供了一个公网ip,所以需要借助于反向代理映射不同端口的方式分发到对应的服务器。本篇的反向代理是通过apache的方式实现,具体的设置可以参考博文在配置ssl反向代理配置文件设置代理指向时,下面的地址需要填写对应服务器的域名地址而非ip原创 2021-08-17 11:46:05 · 849 阅读 · 0 评论 -
ADFS 端口更新后终结点无法访问问题的解决方法
之前转过一篇博文介绍如何更改已经部署好的ADFS端口, 但当你改完端口直接去访问metadata或者任何一个终结点时,会报如下图的错误,直接提示无法访问,如果你再telnet下端口,发现是不通的,然后你再执行下端口状态查看命令netstat -ano, 你会发现压根没这个端口,而原因是你的端口还没被启用解决方法也很简单,打开IIS,在默认网站上增加这么一条绑定,这个端口服务就被启动起来了然后你再去访问你的ADFS任一终结点地址就都可以访问了,这一步在文章开头的博文链接里第十步就是,但今天的.原创 2021-08-16 22:20:03 · 760 阅读 · 0 评论 -
Dynamics 365 基于RedHat Keycloak的SSO配置四
当你配置完SSO后,当你再次登录CRM,系统会跳转到ADFS登录页,在登录页你会看到如下两个选项, 一个是SSO, 一个是Active Directory 那我们既然要用SSO了么, 就得把Active Directory禁用掉,当我们进ADFS管理器的时候,在Claims Provider Trusts里能看到所有的provider,而看到我们新添加的SSO选项是可以通过界面进行禁用的 但是当我们右击Active Directory时,禁用按钮是灰色的 所以我们...原创 2020-11-30 16:56:16 · 695 阅读 · 0 评论 -
Dynamics 365 基于RedHat Keycloak的SSO配置一
在实施CRM的过程中,SSO是一个绕不开的话题, 任何一家企业上线一套CRM, 都要将身份验证纳入已有的认证体系中, 但Dynamics 365自身没有单独配置SSO的地方,必须借助于ADFS,只要是支持通用协议的SSO产品都是支持和ADFS进行集成的,比如SAML2,有碰到过那种企业自开发的,能实现SSO功能的但不是基于通用协议开发的就不行了,本篇要分享的是如何和红帽的Keycloak进行SSO集成。 设置分两步走, 一步是在ADFS中,一步是在Keycloak中,首先要拿到Keyc...原创 2020-10-18 18:07:20 · 1138 阅读 · 0 评论 -
Dynamics 365 基于ADFS 2016(4.0)的OAuth2 CRM Web API Request
前年我写过一篇Dynamics 365 Online基于OAuth2身份验证的Web Api Request,点击查看,该方式是基于azure的,需要在azure中注册clientid,在这之后尝试过on-presimes的server-side的OAuth搞Web Api Request一直没有成功,后来得知是因为adfs3.0不支持,最近在Windows server2016上操作成功了...原创 2018-05-03 22:58:46 · 4036 阅读 · 0 评论 -
ADFS Power shell更新证书指纹报connecting to remote server localhost failed的错误
今天在更新ADFS证书指纹时碰到如下截图中的错误,提示connecting to remote server localhost failed,查询了网上没有找到类似的案例 无意间发现篇类似博文能解决该问题,原链接在此,如果访问不了就看下面图片吧。...原创 2020-05-22 11:27:21 · 846 阅读 · 0 评论 -
ADFS 2016 找不到方法:Microsoft.IdenityModel.Protocols.WSFederation.Metadata.MetadataBase
如果你在配置ADFS的Relying Party碰到如下错误的时候,那可能的原因是你的Windows Server 2016版本太老,给系统打补丁后即可解决这个问题,补丁链接参考博文...原创 2019-11-25 14:14:59 · 508 阅读 · 0 评论 -
Powershell中执行ADFS指令提示命令不存在的问题
有朋友想通过powershell来操作adfs,但在执行powershell时却提示指令不存在 那是因为你的powershell缺少adfs的指令模块,执行下下面这条指令,将模块添加上即可Add-PSSnapin Microsoft.Adfs.PowerShell...原创 2019-09-12 11:55:17 · 720 阅读 · 0 评论 -
ADFS Change Token Signing&Encryption Certificate Expiration Date
ADFS加密和签名过期解决方法。Change Token Signing Certificate Expiration Date 更新后重启下adfs服务,并且把CRM部署管理器中的配置基于声明的身份验证和配置面向Internet的部署再点击一遍。...转载 2019-04-23 17:10:53 · 595 阅读 · 0 评论 -
ADFS4.0 尝试为指纹所标识的信赖方信任证书建立证书链期间出错
客户的环境部署了IFD,运行部署一段时间后,突然报了两个问题,一个是登录端在adfs登录页面登录时偶然的会报错,一个是在接口端在调用身份验证时也报错:"未能对安全令牌进行身份验证或授权"。 客户的环境是两台adfs服务器做的负载,其中一台的系统日志有如下这段,第一反应是难道证书过期了?最后验证下来不是,那就尝试更新下证书吧。尝试为指纹“D6CA2DDBEE4C226...原创 2018-12-06 09:50:16 · 2412 阅读 · 0 评论 -
ADFS3.0 更改默认端口
https://www.inogic.com/blog/2014/07/how-to-change-the-port-of-adfs-3-0-windows-server-2012-r2-to-444/转载 2018-08-15 17:12:37 · 1251 阅读 · 0 评论 -
ADFS3.0/4.0 访问登录页跳转到注销界面后再跳转回登录页的方法
adfs登录后会有个session存在,只要在时间段内,并且你的浏览器没关闭,那这个session就一直存在,哪怕你把CRM窗口关闭,当你下次再打开CRM窗口时,系统会让你自动登录,而不会引导你进adfs登录界面。 但有这么种情况,我浏览器没关,但session过期了,当你再次打开CRM窗口,会跳转到adfs的注销界面(如下图这样),而不会自动跳转到登录界面,如果用过online...原创 2018-07-23 14:34:22 · 3027 阅读 · 2 评论 -
ADFS4.0 使用nginx做反向代理访问报502错的解决方法
客户的adfs前端的负载使用了nginx方案,但在nginx端做完配置再访问时报如502错,nginx日志中显示"no live upstreams while connecting to upstream" 解决方案见博文,两条powershell命令即可解决...转载 2018-06-15 17:16:31 · 1398 阅读 · 1 评论 -
ADFS 部署数据库AlwaysOn后应用端的连接字符串更改
ADFS安装时有两种选择一种是windows inner database,一种是sql server,本次部署我选择的是sql server,那就要做后端数据库的高可用,此处方案选择sql server的alwayson,那部署完alwayson后需要更改adfs应用和数据库之间的连接字符串,按照官方文档可以通过powershell来操作。 datasource改成你的always...原创 2018-06-15 15:41:20 · 982 阅读 · 0 评论 -
ADFS3.0/4.0 证书更新/替换
第一步首先将证书导入,必须是带私钥的证书; 在adfs服务器上运行mmc,打开管理控制台在本地计算机的个人证书中将证书导入并且给予运行adfs服务器的账号对证书私钥读的权限 证书导入后就进入第二步,在adfs管理器中证书一栏里把红框中的三个证书都更新一下当在添加令牌证书时会报下图提示,用powershell改下即可 最后进入最关键的一步,修改adfs证书指纹,可以用下图中的指令看下当前...原创 2018-06-01 11:09:06 · 7367 阅读 · 0 评论 -
Server2016 ADFS4.0 The same client browser session has made ‘6‘ requests in the last ‘13‘seconds(二)
之前这个主题的博文分享过一篇,这次遇到了一个新的情况。这次的项目客户要求生产环境他们自己搭,让我写完整部署文档给他们,他们按照文档来以验证我文档中步骤的可靠性,为此我是捏了把汗的,因为就算我自己配每次都会有不同的幺蛾子,更何况一个从来没接触过CRM的人去按照现有的文档文档配呢。 配完adfs问题果然出现了,然后让我去解决,我看了adfs的错误心里一喜,碰到过,有解决方法,万幸,结果设...原创 2018-06-12 10:44:01 · 655 阅读 · 0 评论 -
Cannot start service MSSQL$MICROSOFT##WID on computer
在做ADFS部署过程中配置ADFS服务时遇到如下问题检查系统日志错误日志如下,很明显“NT SERVICE\MSSQL$MICROSOFT##WID”这个账户不在log on as a aservice中再来看下这个账户是要干啥,我们在服务里找到了这个账号,他需要启动Windows Internal Database 这个服务,在配置时仔细看界面的提示就知道是需要创建数据库原创 2014-06-26 13:11:17 · 4343 阅读 · 0 评论 -
识别你的ADFS是什么版本的(Which version of ADFS is running)
各版本的ADFS版本识别见如下链接:http://jorgequestforknowledge.wordpress.com/2014/02/23/gathering-architectural-details-from-your-adfs-infrastructure-adfs-version/转载 2014-07-16 10:18:38 · 2777 阅读 · 1 评论 -
ADFS部署过程中设置network service对证书的读取权限
今儿在部署客户正式环境的ADFS时候遇到一问题,在配置完基于声明的身份验证后通过url访问居然报错了,这干过N回的事怎么会出错了呢,百思不得其解网页报错如下系统日志报错如下,回想过程中的每一步,突然想到这回好像没对证书做什么操作,因为证书是客户买的由他们IT人员导入好了的,我就直接在绑定的时候选择下就行了,所以少了一步操作。通过管理工具点开证书右击所有任务原创 2014-10-22 21:33:05 · 2081 阅读 · 0 评论 -
CONFIGURE ADFS 3.0 WITH SHAREPOINT 2013
http://blogit.create.pt/miguelmoreno/2014/11/14/configure-adfs-3-0-with-sharepoint-2013/转载 2015-05-20 09:05:05 · 1252 阅读 · 0 评论 -
Dynamics CRM2013 Server2012R2下IFD部署遇到There is already a listener on IP endpoint的解决方法
接上一篇继续Server2012R2的问题,因为自己先在R2上部署的IFD报错后上网查了很多资料,但毕竟R2是新出的CRM2013也是新出的,网上基本还没有相关的问题反馈,基本都是2012以前的系统版本,ADFS也都是2.1之前的版本,所以对2012中的那个hotfix补丁在R2上打不上后,重新尝试了在2012系统环境下部署IFD遇到的错误居然是一致的,所以思维定式的把两个系统中的问题想成了同一个原创 2014-07-24 22:55:39 · 2583 阅读 · 0 评论 -
Dynamics Crm 2011 Or 2013 IFD 部署一段时间后,CA验证问题
以下错误描述摘自博客:http://blog.csdn.net/qzw4549689/article/details/14451257 IFD部署一段时间后,大概一年,突然出现从IFD登录页面登录后,再次弹出要求登录的框,多次输入用户名密码仍然无效,查看日志:><TraceRecord xmlns="http://schemas.micros...转载 2015-11-06 11:45:17 · 2753 阅读 · 2 评论 -
Dynamics CRM2013 Server2012下部署ADFS和IFD遇到的问题No Organization were retrived
最近一直在折腾Windows Server2012下的IFD部署,其中各种纠结啊错误百出,要想顺利的一步到位只能说看你的RP怎么样了,具体的操作过程推荐看下勇哥的博客:“http://luoyong0201.blog.163.com/blog/static/1129305201421882519739/”里面讲的非常详细从头到尾一步步教你如何操作,如果说看了博客还说不会的人那就实在无话可说了,原创 2014-07-20 22:01:57 · 3320 阅读 · 0 评论 -
ADFS3.0 Customizing the AD FS Sign-in Pages
Windows Server2012R2自带的adfs是3.0的版本,不同于以前的版本的是3.0中登陆页面的定制化全部是通过powershell指令实现,官方的介绍链接如下:http://technet.microsoft.com/en-us/library/dn280950.aspx本文中只对我在项目中用到的做下介绍,部署adfs成功后登陆界面如下修改左侧的图片的指令...原创 2014-10-17 14:02:45 · 4791 阅读 · 0 评论 -
Dynamics CRM ADFS及IFD部署后延长系统注销时间
Dynamics CRM部署IFD后,一段时间后登陆状态会失效,系统会提示让你重新登陆,可以通过延长失效时间来规避Set-ADFSRelyingPartyTrust -Targetname "CRM IFD Relying Party" -TokenLifetime 480“CRM IFD Relaying Party” 是你的ADFS管理器中Relying Party Trusts中原创 2014-07-29 23:34:09 · 4141 阅读 · 4 评论 -
The encryption certificate of the relying party trust identified by thumbprint is not valid
CRM2013部署完ADFS后通过url在浏览器中访问测试是否成功,成功进入登陆界面但在登陆界面输入用户名和密码后始终报身份验证失败,系统中的报错信息如下:Microsoft.IdentityServer.AuthenticationFailedException: MSIS3014。The encryption certificate of the relying party trust '原创 2014-06-30 16:12:55 · 5929 阅读 · 0 评论 -
自制证书时报“此证书模板上的权限不允许当前用户注册此类型的证书“的解决办法
当你在用powershell进行证书申请处理操作时,弹出如下图中的错误,你第一件要检查的事是你是否以管理员身份运行了powershell,如果没有则使用管理员身份运行,看是否能解决你的问题,如果能解决最好,如果解决不了则继续找其他原因。原创 2017-10-16 16:27:14 · 5721 阅读 · 0 评论 -
ADFS服务无法启动的原因排查
有时候系统重启了,发现adfs服务没起来,手工去启动结果报错了,例如下面这样的错误 但细细想想最近也没干啥啊,怎么突然就启动不起来了呢,于是便谷歌了下,找到了这么一篇support的帖子罗列了服务无法起来的原因,我对照了下我adfs数据库用的是系统自带的数据库,去搜寻了下果然window internal database的服务没起来,启动该服务后再去启动adfs的服务就可以了。原创 2018-02-01 11:45:29 · 3640 阅读 · 0 评论 -
Dynamics 365 配置IFD的向导界面下一步按钮禁用的解决办法
今天在做IFD部署的时候遇到了个新情况,做了那么多次的部署每次都有新情况,也是蛮好玩的。 点击部署管理器中的配置面向Internet的部署时会弹出如下向导框,把该填的都填了点击下一步 结果就出问题了,下图中的红框是空白的,按照常理地址栏都是auth.domain.com:446(此处端口号根据你自己的定义来),界面上的下一步按钮也是灰色的 当我手工把地址填进去后下一步依旧是灰色...原创 2018-04-27 10:28:47 · 1437 阅读 · 1 评论 -
ADFS3.0 Customizing the AD FS Sign-in Pages(二、JS篇)
三年多前写过一篇adfs3.0的登录页面的自定义,但之前的博客里只介绍了一些基本的修改样式的指令,本篇开始探讨下在js层面能做哪些自定义。 当我们用下面这条powershell的指令把默认的样式导出来后,我会看到一个script的文件夹,里面有一个onload.js的文件Export-AdfsWebTheme –Name default –DirectoryPath c:\th...原创 2018-04-28 16:55:57 · 1703 阅读 · 0 评论 -
ADFS – How to enable Trace Debugging and advanced access logging
ADFS – How to enable Trace Debugging and advanced access logging转载 2018-05-08 10:09:07 · 395 阅读 · 0 评论 -
Server2012R2 ADFS3.0 The same client browser session has made ‘6‘ requests in the last ‘13‘seconds
本问题是在windows server2012R2系统ADFS3.0环境下遇到的,CRM2013部署ADFS后运行一段时间(大概有一两个月)后在IE浏览器中访问登陆界面点击登陆后就报以下错误“Microsoft.IdentityServer.Web.InvalidRequestException: MSIS7042: The same client browser session has ma原创 2014-09-29 14:17:31 · 5206 阅读 · 0 评论