[Dynamics CRM 2011]IFD展開を構成する その4 証明書利用者信頼の設定 でクレームベース認証の設定まで行いました。今回 CRMサーバー上で IFD展開の構成を行います。IFD展開の設定は本記事で最後になります。インターネットに接続する展開(IFD)の構成後、 フォーム画面からログインするようになります。おさらいとして、各記事へのリンクと、IFD展開の参考リンクを再掲します。
IFD展開構成用の参考リンク
Microsoft Dynamics CRM 2011 Implementation GuideのMicrosoft Dynamics CRM 2011 and Claims-based Authentication.doc
http://www.microsoft.com/download/en/details.aspx?id=3621
Dynamics CRM 2011 クレームベース認証構成のポイント
http://blogs.msdn.com/b/crmjapan/archive/2011/12/14/dynamics-crm-2011-claim-authentication-tips.aspx
IFD展開用の記事へのリンク
- [Dynamics CRM 2011]IFD展開を構成する その1 HTTPSバインディングとDNSの設定
- [Dynamics CRM 2011]IFD展開を構成する その2 ADFS2.0のインストールと構成
- [Dynamics CRM 2011]IFD展開を構成する その3 クレームベース認証の構成
- [Dynamics CRM 2011]IFD展開を構成する その4 証明書利用者信頼の設定
- [Dynamics CRM 2011]IFD展開を構成する その5 IFD展開の設定
1. IFD展開の構成
CRMサーバーにログインし、展開マネージャーを起動します。操作ペインの インターネットに接続する展開の構成 をクリックします。
ウィザードが起動します。次へボタンをクリック。
Webアプリケーションと組織 WebサービスのIFD用のドメイン名を入力します。サーバー名ではないので注意してください。検出 Web サービスのドメインは サービスをホストしているサーバー名を指定します。ここではサーバー名を直接指定していますが、 本来は、[Dynamics CRM 2011]IFD展開を構成する その1 HTTPSバインディングとDNSの設定 のDNS設定でstsやauthを登録しているように、 dev.dcrm.local でアクセスできるように DNSレコードに名前が dev のレコードを追加して、サーバー名が直接公開されないようにしたほうがよいでしょう。次へボタンをクリックします。
IFD接続用の CRMサーバーの名前を指定します。[Dynamics CRM 2011]IFD展開を構成する その1 HTTPSバインディングとDNSの設定 の DNS 設定で作成した auth.dcrm.local を本例では使用しています。内部で動作確認するだけであれば、 CRMサーバーの名前を直接入力しても動作確認は行えます。次へボタンをクリックします。
システムのチェックでエラーが発生しないことを確認します。外部ドメインで指定した名前は、Webアプリケーションサーバの欄で入力したドメインのサブドメインである必要があるので注意してください。次へボタンをクリックします。
設定のサマリが表示されます。適用ボタンをクリックします。
正常に構成されると以下の画面が表示されます。完了ボタンをクリックします。
以上で完了です。
最後に IIS をリセットします。 コマンドプロンプトを管理者として起動し、 iisreset コマンドを入力してください。
2. フェデレーション メタデータの更新の反映
IFDの構成をお粉たので、 ADFS2.0 サーバーの AD FS 2.0 管理ツール上で、証明書利用者信頼を更新します。AD FS 2.0 管理スナップインを起動します。信頼関係の 証明書利用しあ信頼をクリックします。中央ペインの証明書利用者信頼で、CRMサーバー用の行を選択します。右クリック→フェデレーション メタデータから更新をクリックします。
本手順は、 IFD展開の有効/無効を切り替えたときや、組織を追加した場合などに行う必要があります。メタデータからの更新は24時間ごとに行われるので、手動で更新しない場合は最大24時間変更の反映が遅れることになります。
3. 動作確認
CRMサーバーに戻って動作確認をしてみます。展開マネージャーを起動します。 組織を選択して、右クリック→参照をクリックします。
フォームのサインイン画面が表示されます。アドレス欄のURLを確認すると、 ADFS2.0サーバーにアクセスしていることが確認できます。
資格情報を入力してサインインを行うと CRMアプリケーション画面が表示されます。アドレスを確認すると、 IFD用のアドレス(組織名がIFD構成時に設定したドメイン名の先頭に表示される)になっていることが確認できます。IFD用のアドレスでCRMサーバーをDNSがポイントするように、[Dynamics CRM 2011]IFD展開を構成する その1 HTTPSバインディングとDNSの設定のDNSの設定で dyn レコードを追加したことを思い出してください。
説明は以上です。非常に長かったですが、IFD展開の構成ができました。
ADFS2.0やクレームベース認証はしっかり押さえられていないので間違いや指摘点などがあればご連絡ください。
ご掲載されれた情報を参考していただいておりましたが、設定中に異なる現象が発生しましたので、
ご存知であれば、教えていただきたいです。
まず、『•[Dynamics CRM 2011]IFD展開を構成する その4 証明書利用者信頼の設定』の『2. 要求規則の編集』まで
うまく設定できましたが、『3.CRMサーバー側でのクレーム認証の動作確認』を試すときに、
ドメイン管理下のユーザ全部サーバへアクセス権限がなくなっています。
これは一体どういうことでしょうか。
お手数ですが、ご存知であれば、教えていただきたいです。
宜しくお願い致します。
>サーバーへアクセス権限がなくなっています。
上記のコメントの意味がよくわかりませんでした。どのような意味でしょうか。
Webサーバー上へのファイルのアクセス権という意味でしたら、Dynamics CRMは偽装の設定を行っていたはずなので、クレーム認証を行った場合、ASP.NET実行コンテキストのユーザーは匿名ユーザーになると思います。そちらが関連しているかもしれません。