Dynamics 365配置ADFS

准备工作

Dynamics 365服务器，ADFS服务器及SSL证书。

配置基于声明的身份验证

首先，需要在Dynamics 365服务器和ADFS服务器上安装SSL证书。安装到本地计算机，点击下一步。

选择根据证书类型，自动选择证书存储。

由于后续配置可能会涉及到证书私钥读取受限问题，所以，需要分别在adfs和dynamics服务器，打开mmc控制台设置一下。

点击文件，选择”添加\删除管理单元”然后选择”证书”，继续选择”计算机账户”点击下一步。

选择”本地计算机”点击完成。

在个人目录下的证书中，找到添加的证书，右键所有任务，选择”管理私钥”。

添加Everyone的完全控制权限。

在Dynamics 365服务器中打开部署管理器，点击”属性”。

选择”Web地址”页签，绑定类型选择HTTPS，下面地址统一设置为:
internalcrm.域名.com
端口按实际需要设置，我的默认为443。
这里的域名要和SSL证书保持一致。

打开IIS管理器，点击绑定，类型为https，选择SSL证书，注意端口需要和上面部署管理器设置的保持一致。

再回到部署管理器，点击”配置基于声明的身份验证”。

点击下一步。

此处为ADFS的联合元数据URL，格式为:
https://域名/federationmetadata/2007-06/federationmetadata.xml
打开浏览器先验证是否可以访问到，如访问不到，检查dns或hosts文件中是否有对应的解析，以及防火墙或网络是否有相应的限制。

选择证书，点击下一步。

继续点击下一步。

点击应用。

点击查看日志文件。

找到最后一行
Metadata URL: https://internalcrm.域名.com/FederationMetadata/2007-06/FederationMetadata.xml
验证浏览器是否能够在adfs服务器访问到，如访问不到，检查dns或hosts文件中是否有对应的解析，以及防火墙或网络是否有相应的限制。

现在打开ADFS服务器上打开ADFS管理。

点击”声明提供方信任”目录，在”Active Directory”上右键，选择”编辑声明规则”。

点击”添加规则”。

选择以”声明方式发送LDAP特性”，点击下一步。

声明规则名称中填写LDAP UPN Claim Rule，”特性存储”选择Activity Directory，如图，选择User-Principal-Name，选择UPN，点完成。

点击应用，确定。

”信赖方信任”右键点击”添加信赖方信任”。

选择”声明感知”，点击”启动”。

将刚才部署管理器生成的Metadata URL输入到联合元数据地址里
https://internalcrm.域名.com/FederationMetadata/2007-06/FederationMetadata.xml
点击下一步。

输入显示名，CRM Cliams Relying Party，点击下一步。

默认下一步，不要勾选选项。

继续下一步。

点击关闭。

在新增的”信赖方信任”右键，点击”编辑声明颁发策略”。

点击”添加规则”。

选择”经历或筛选传入声明”，点击下一步。

起一个声明规则名称，Pass Throungh UPN，下面”传入声明类型选择”选择”UPN”。

添加第二个，选择”经历或筛选传入声明”，点击下一步。

起一个声明规则名称，Pass Through Primary SID，下面”传入声明类型选择”选择”主 SID”，点击完成。

添加第三个，选择”转换传入声明”，点击下一步。

起一个声明规则名称，Transform Windows Account Name To Name，选择”传入声明类型”为”Windows 账户名”，”传出声明类型”选择”名称”,然后点击完成。

点击应用，并确定。

在”身份验证方法”目录，点击主身份验证方法的编辑。

确认表单身份验证已勾选。

验证
https://internalcrm.域名.com
是否可以成功登录，至此，配置基于声明的身份验证完成。

配置面向Internet的部署

打开dynamics部署管理器，点击” 配置面向Internet的部署”。

点击下一步。

Web 应用程序服务器域及组织Web服务域输入:域名.com。
Discovery Web Service 域输入:transfer. 域名.com。
域名和SSL证书保持一致。
dns或hosts文件添加对应ip的域名解析，如：transfer. 域名.com。然后点击下一步。

输入面向Internet的服务器所在的外部域，下一步
同样，dns或hosts文件添加对应:auth.域名.com 的ip域名解析。

像:transfer. 域名.com、auth.域名.com、internalcrm.域名.com。
这3个对应的都是crm应用服务器的IP。

点击下一步。

点击应用，并完成。

最后，在ADFS服务器上验证
https://auth.域名.com/FederationMetadata/2007-06/FederationMetadata.xml
地址是否可以成功访问到。

回到ADFS服务器，在”信赖方信任”目录右键”添加信赖方信任”。

默认”声明感知”点击启动。

输入”联合元数据地址”
https://auth.域名.com/FederationMetadata/2007-06/FederationMetadata.xml
点击下一步。

输入显示名，CRM IFD Relying Party，点击下一步。

点击下一步，不要勾选选项。

继续点击下一步。

关闭即可。

在新增的信赖方信任，右键，点击”编辑声明颁发策略”。

点击”添加规则”。

选择”经历或筛选传入声明”，点击下一步。

起一个声明规则名称，Pass Throungh UPN，下面”传入声明类型选择”选择”UPN”。

添加第二个，选择”经历或筛选传入声明”，点击下一步。

起一个声明规则名称，Pass Through Primary SID，下面”传入声明类型选择”选择”主 SID”，点击完成。

添加第三个，选择”转换传入声明”，点击下一步。

起一个声明规则名称，Transform Windows Account Name To Name，选择”传入声明类型”为”Windows 账户名”，”传出声明类型”选择”名称”,然后点击完成。

点击应用，并确定。

将:dynamics组织名.域名.com
添加到dns或hosts文件做解析，然后测试是否能够成功访问。到此，所有配置完成。