[Dynamics CRM 2011]IFD展開を構成する その3 クレームベース認証の構成 で、CRMサーバー側でクレームベース認証の設定を行いました。今回は ADFS 2.0サーバー側で、証明書利用者信頼の設定を行います。

1.証明書利用者の追加

ADFS2.0 サーバーで、 AD FS 2.0管理画面を表示します。管理画面中央の、必須：信頼できる証明書利用者を追加する (もしくは操作ペインの 証明書利用者信頼の追加) をクリックします。

証明書利用者信頼の追加ウィザードが起動します。開始ボタンをクリックします。

データソースの選択画面が表示されます。オンラインまたはローカルネットワークで公開されている証明書利用者についてデータをインポートする を選択します。フェデレーション メタデータのアドレス を入力します。本記事では、 https://auth.dcrm.local/FederationMetadata/2007-06/FederationMetadata.xml と入力します。auth は CRMサーバーの名前です([Dynamics CRM 2011]IFD展開を構成する その1 HTTPSバインディングとDNSの設定 のDNS設定で登録した名前です)。LAN内でテストをするだけなら、実際のサーバー名を指定しても問題ないと思います。サーバー名以降のパスはそのまま /FederationMetadata/2007-06/FederationMetadata.xml を入力します。次へボタンをクリックします。

表示名は任意の表示名を入力します。既定ではサーバー名が入力されています。次へボタンをクリックします。

発行承認規則の選択画面が表示されます。すべてのユーザーに対してこの証明書利用者へのアクセスを許可するを選択し、 次へボタンをクリックします。

信頼の追加の準備完了画面が表示されます。次へボタンをクリックします。

完了画面が表示されます。 ウィザードの終了時にこの証明書利用者信頼の [要求規則の編集] ダイアログを開く がチェックされた状態で、閉じるボタンをクリックします。

画面が閉じると、要求規則の編集画面が表示されます。

2. 要求規則の編集

証明書利用者信頼の要求規則の編集を行います。ここで行う作業は、次のURLのドキュメント Microsoft Dynamincs CRM 2011 and Claims-based Authentication.doc での記載内容に従って行っています。

Microsoft Dynamics CRM 2011 Implementation GuideのMicrosoft Dynamics CRM 2011 and Claims-based Authentication.doc
http://www.microsoft.com/download/en/details.aspx?id=3621

証明書利用者追加ウィザード完了時に 要求規則の編集 ダイアログを開くようにしなかった場合は、AD FS 2.0 管理スナップインから信頼関係→証明書利用者信頼を選択し、証明書利用者信頼一覧から対象の証明書利用者信頼(Relying Party Trust)を選択し、右クリック→要求規則の編集をクリックします。

要求規則の編集ダイアログが表示されたら、発行変換規則を3つ追加します。発行変換規則タブを選択し、規則の追加ボタンをクリックします。

変換要求規則の追加ウィザードが開始されます。要求規則テンプレートに、入力方向の要求をパス スルーまたはフィルター処理 を選択します。次へボタンをクリックします。

要求規則名に適当な名前(下図では Pass Through UPN) を入力します。入力方向の要求の種類で UPN を選択します。完了ボタンをクリックします。

要求規則の編集ダイアログで、再び規則の追加ボタンをクリックします。要求規則の追加ウィザードが開始されます。要求規則テンプレートに、入力方向の要求をパス スルーまたはフィルター処理 を選択し、次へボタンをクリックします。

要求規則名に適当な名前(下図では Pass Through Primary SID)を入力します。入力方向の要求の種類に プライマリ SID を選択します。完了ボタンをクリックします。

要求規則の編集ダイアログで、再び規則の追加ボタンをクリックします。要求規則の追加ウィザードが開始されます。要求規則テンプレート で、入力方向の要求を変換 を選択します。次へボタンをクリックします。

要求規則名に適当な名前(下図では Transform Window Account Name to Name)を入力します。入力方向の要求の種類に Windows アカウント名 を選択します。出力方向の要求の種類に 名前 を選択します。完了ボタンをクリックします。

3つの規則追加後、要求規則の編集画面は、次のようになります。OKボタンをクリックして画面を閉じます。

続いて、要求プロバイダー信頼側の要求規則の編集を行います。信頼関係の要求プロバイダー信頼を選択します。要求プロバイダー信頼から Active Directory を選択し、右クリック→要求規則の編集をクリックします。

要求規則の編集画面が表示されます。受付変換規則を1つ追加します。規則の追加ボタンをクリックします。

規則テンプレートの選択画面が表示されます。要求規則テンプレートで LDAP 属性を要求として送信 を選択します。次へボタンをクリックします。

要求規則名に適当な名前(下図では UPN Claim Rule) を入力します。属性ストアに Active Directory を選択します。 LDAP 属性の出力方向の要求の種類への関連付けに、下図のように、LDAP属性に User-Principal-Name, 出力方向の要求の種類に UPN を選択します。完了ボタンをクリックします。

規則の追加後、下図のように変換規則が追加されます。OKボタンを クリックします。

以上で、 ADFS 2.0 側の証明書利用者信頼の追加と設定は完了です。

3.CRMサーバー側でのクレーム認証の動作確認

クレームベース認証の準備が整いました。現時点での動作を確認するためにCRMサーバーにアクセスしてみます。CRMサーバーで展開マネージャーを起動します。下図のように組織を選択して、 右クリック→参照をクリックします。

IEが起動されます。タイトルバーを確認するとADFS2.0のサーバー(sts.dcrm.local)'にアクセスしていることがわかります。ポップアップ画面で、Windows 資格情報を入力します。ポップアップ画面の w2k8r2adfs01 は、 ADFS2.0サーバーの実際のサーバー名です。

資格情報を入力すると、下図のように CRMサーバーのアプリケーションが表示されます。アクセスしているURLはhttp://<サーバー名のFQDN>/組織名 となります。下図右側赤枠にWindows 統合認証を使用していた時には表示されなかった、サインアウトリンクが表示されます。

以上です。次回[Dynamics CRM 2011]IFD展開を構成する その5 IFD展開の設定 が最後になります。IFD展開用の構成と動作確認を行います。

ADFSやクレームベース認証は詳しくないので間違っていたり指摘事項があればご連絡ください。