Dynamics CRM 2011 IFD 配置.docxVIP

配置 CRM2011 IFD 本文是前段时间为开发部门搭建CRM2011 claims-based认证的测试环境的步骤记录，将使用ADFS为crm2011配置基于声明验证claims-based authentication的IFD模式。 对于IFD配置的身份验证方式，crm2011和crm4.0已经完全不同。crm4.0 时代部署IFD身份验证基于表单来完成，ifd配置过程可以通过更改配置文件或用微软提供的IFD部署工具完成，整个过程比较简便，在IFD部署完成后，从安全性的角度考虑都会建议使用HTTPS来发布IFD配置。在新版的crm2011中配置IFD，部署的步骤相对繁杂一些，新版的IFD部署采用基于声明的身份验证Claims-based Authentication。 在crm2011 IFD部署中使用ADFS（Active Directory Federation Services 2.0）作为身份验证提供者。当用户通过internet连接到crmweb站点时，会跳转到ADFS服务。该服务接收到用户登录信息后将通过内部AD对信息进行验证，AD验证结果返回ADFS，并由ADFS发出一个安全token给用户，再提交给crm2011 web站点。在安全token中包含了用户信息，组成员关系从而确定用户访问授权。 我在测试环境的搭建拿3部windows server2008 R2服务器分别充当AD中的DC 并配置证书服务， APP 角色安装crm2011，DB角色安装sql2008R2。以下是涉及的配置过程。 ????A.基础环境部署 ????? 1）.首先安装配置好活动目录，并在DC上启用证书服务 ??????2）.在DB 角色服务器安装sql2008R2 ??????3）.在APP角色服务器安装crm2011 ????B.为ADFS服务申请证书，由于是测试环境，证书的颁发都由DC完成，为方便管理，建议申请通配符证书。 ??????1）. 在IIS管理器，创建一个证书请求，并以webserver模板创建一个friendly name为 *.的证书。 ? 2). 将新颁发的证书导出，后续步骤需要在APP 角色服务器上使用到该证书。 C.在app配置证书并安装ADFS2.0。 1）.将导出的证书导入到APP中，计算机账户的个人证书和受信任的根证书的存储路径中都导入一份证书副本，否则将影响到ADFS在安装过程中识别正确的证书。 注：单击「开始」，在“运行”中键入 mmc，然后按 Enter。 在“文件”菜单上，单击“添加/删除管理单元”。 在“可用的管理单元”下，双击“证书”，然后： 如果作为管理员登录，请单击“我的用户帐户”，然后单击“完???”。 如果作为用户登录，则“证书”管理单元将自动打开。 如果没有其他要添加到控制台的管理单元，请单击“确定”。 若要保存此控制台，请在“文件”菜单上单击“保存”。 2）.有点需要注意的是ADFS的安装需要更改iis默认站点,所以在配置crm2011时，需要把crm2011安装到一个新的站点，我选用的是：5555为端口的一个新站点。 在iis管理器中为默认站点启用HTTPS并选中刚才颁发的*. 为ssl证书，默认端口443。为CRM2012 站点启用SSL，并选*. 为ssl证书，在444端口侦听ssl连接。 3）.安装ADFS.完成安装后，打开配置向导，配置Federation server 4）. 配置Federation server，因为使用通配符证书，需要为Federation? service指定一个名称。在操作中我设置为F 将会是Federation service 的对外接口，在生产环境中需要配置DNS保证internet上的可访问性。 D. 完成ADFS的安装后，需要配置crm的claim-based authentication。 1）在配置claim-based authentication 之前需要启用CRM2011的HTTPS，上面有个步骤是对IIS站点中的crm站点启用HTTPS，这个步骤需要到Deployment manager中启用HTTPS，如图，可以将图中涉及到的名称改为带有公网域名信息的FQDN格式： 2）配置claim-based authentication 。这个过程将确定Federation service 的URL。 注意图中显示的URL， 前半部分正是在安装过程中指定的federation service 名称。可以在IE整直接访问这个URL，以确定ADFS的安装正确性。如果正确安装ADFS，服务正常的话，可以通过这个URL打开一个关于Federation service 的XML文件。 3）为claim-based authentica