Partilhar via

Configurar o servidor AD FS para autenticação baseada em declarações

  • Artigo

 

Publicado: janeiro de 2017

Aplicável a: Dynamics 365 (on-premises), Dynamics CRM 2016

Depois de habilitar a autenticação baseada em declarações, a próxima etapa é adicionar e configurar o provedor de declarações e os terceiros de confiança no AD FS.

Configurar a confiança do provedor de declarações

Você precisar adicionar uma regra de declarações para recuperar o atributo de nome principal do usuário (UPN) do Active Directory e enviar para o Microsoft Dynamics 365 como um UPN.

Configurar o AD FS para enviar o atributo UPN LDAP como uma declaração para uma terceira parte confiável

  1. No servidor executando o AD FS, inicie o Gerenciamento do AD FS.

  2. No Painel de Navegação, expanda Relações de Confiança e clique em Confianças do Provedor de Declarações.

  3. Em Confiança do Provedor de Declarações, clique com o botão direito do mouse em Active Directory e clique em Editar Regras de Declaração.

  4. No Editor de Regras, clique em Adicionar Regra.

  5. Na lista Modelo da Regra de Declaração, selecione o modelo Enviar Atributos LDAP como Declarações e clique em Avançar.

  6. Crie a seguinte regra:

    • Nome da regra de declaração: Regra de Declaração de UPN (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Repositório de Atributo: Active Directory

      2. Atributo LDAP: Nome Principal do Usuário

      3. Tipo de declaração de saída: UPN

  7. Clique em Concluir e em OK para fechar o Editor de Regras.

Configurar um terceiro confiável

Depois que você habilitar a autenticação baseada em declarações, configure o Servidor do Microsoft Dynamics 365 como uma terceira parte confiável para consumir declarações do AD FS para autenticar o acesso de declarações internas.

  1. No servidor executando o AD FS, inicie o Gerenciamento do AD FS.

  2. No Painel de Navegação, expanda Relações de Confiança e clique em Confianças de Terceira Parte Confiável.

  3. No menu Ações localizado na coluna à direita, clique em Adicionar Confiança de Terceira Parte Confiável.

  4. No Assistente Adicionar Terceira Parte Confiável, clique em Iniciar.

  5. Na página Selecionar Fonte de Dados, clique em Importar dados de uma parte confiável publicada online ou em uma rede local e digite a URL para localizar o arquivo federationmetadata.xml.

    Esses metadados de federação são criados durante a instalação de declarações. Use a URL listada na última página do Configurar o Assistente de Autenticação Baseada em Declarações (antes de clicar em Concluir), por exemplo, https://internalcrm.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Verifique se não aparece nenhum aviso relacionado ao certificado.

  6. Clique em Avançar.

  7. Na página Especificar Nome de Exibição, digite um nome de exibição, como Parte Confiável de Declaração Dynamics 365 e clique em Avançar.

  8. Na página Configurar Autenticação Multifator Agora, faça sua seleção e clique em Avançar.

  9. Na página Escolher Regras de Autorização de Emissão, clique em Permitir que todos os usuários acessem essa terceira parte confiável e clique em Avançar.

  10. Na página Pronto para Adicionar Confiança, na guia Identificadores, verifique se Identificadores de Parte Confiável tem um único identificador como o seguinte:

    Se seu identificador é diferente do exemplo acima, clique em Anterior em Assistente Adicionar Terceira Parte Confiável e verifique o endereço dos metadados da Federação.

  11. Clique em Avançar e em Fechar.

  12. Se o Editor de Regras aparecer, clique em Adicionar Regra. Caso contrário, na lista Confiança de Terceiros, clique com o botão direito no objeto da parte confiável que você criou, clique em Editar Regras de Declarações e em Adicionar Regra.

    Importante

    Verifique se a guia Regras de Transformação de Emissão está selecionada.

  13. Na lista Modelo da Regra de Declaração, selecione o modelo Passar ou Filtrar uma Declaração em Entrada e clique em Avançar.

  14. Crie a seguinte regra:

    • Nome da regra de declaração: Pass Through por UPN (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Tipo de declaração de entrada: UPN

      2. Passagem de todos os valores de declaração

  15. Clique em Concluir.

  16. No Editor de Regras, clique em Adicionar Regra e, na lista Modelo da Regra de Declaração, selecione o modelo Passar ou Filtrar uma Declaração em Entrada e clique em Avançar.

  17. Crie a seguinte regra:

    • Nome da regra de declaração: Pass Through Primary SID (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Tipo de declaração de entrada: SID Primário

      2. Passagem de todos os valores de declaração

  18. Clique em Concluir.

  19. No Editor de Regras, clique em Adicionar Regra.

  20. Na lista Modelo da Regra de Declaração, selecione o modelo Transformar uma Declaração em Entrada e clique em Avançar.

  21. Crie a seguinte regra:

    • Nome da regra de declaração: Transformar nome da conta do Windows em nome (ou algo descritivo)

    • Adicione o seguinte mapeamento:

      1. Tipo de declaração de entrada: Nome da Conta do Windows

      2. Tipo de declaração de saída: Nome

      3. Passagem de todos os valores de declaração

  22. Clique em Concluir e, ao terminar de criar todas as três regras, clique em OK para fechar o Editor de Regras.

    Three claims rules

    A ilustração mostra as três regras de confiança de terceiros criadas.

A confiança de terceira parte confiável que você criou define como o Serviço de Federação do AD FS reconhece a parte confiável do Microsoft Dynamics 365 e emite declarações.

Habilitar autenticação de formulários

No AD FS do Windows Server 2012 R2, a autenticação de formulários não é habilitada por padrão.

  1. Faça logon no servidor do AD FS como administrador.

  2. Abra o console de gerenciamento do AD FS e clique em Políticas de Autenticação.

  3. Em Políticas de Autenticação, Autenticação Principal, Métodos de Autenticação, clique em Editar.

  4. Em Intranet, ative (marque) Autenticação de Formulários e, em seguida, clique em OK.

Enable forms authentication

No Windows Server 2016, execute um cmdlet

Se o servidor do AD FS estiver sendo executado no Windows Server 2016, execute o seguinte cmdlet do Windows PowerShell:

Grant-AdfsApplicationPermission -ClientRoleIdentifier "<ClientRoleIdentifier>" -ServerRoleIdentifier <ServerroleIdentified>

  1. ClientRoleIdentifier: o ClientId do Adfsclient. Por exemplo: e8ab36af-d4be-4833-a38b-4d6cf1cfd525

  2. ServerroleIdentified: o identificador da parte confiável. Por exemplo: https://adventureworkscycle3.crm.crmifd.com/

Para obter mais informações, consulte Grant-AdfsApplicationPermission.

Confira Também

Implementar autenticação baseada em declarações: acesso interno

© 2017 Microsoft. Todos os direitos reservados. Direitos autorais