竹云IDaaS•开放平台

Dynamics 365 (私有化)单点登录

单点登录SSO

# 说明

本文介绍Dynamics365使用WS-Federation协议配置实现和IDaaS的单点登录,该文档以本地Microsoft Dynamics 2016版本为基准。

# 认证配置

# IDaaS添加 Dynamics365 应用

  1. 管理员登录IDaaS企业中心,进入资源-应用-添加预集成应用,搜索并添加Dynamics365应用。

  2. 配置应用认证参数。

    参数 说明
    Wtrealm Microsoft Dynamics 365服务地址,例:https://[Dynamics系统域名]/
    Wreply Microsoft Dynamics 365回调地址,例:https://[Dynamics系统域名]/[组织名称]/main.aspx
    Name ID 默认选择选择应用账号
    NameID Format 选择默认即可
    开启Active模式

  3. 授权用户,授权管理-应用账号-添加账号,账号名和Microsoft Dynamics 365中的账号名保持一致。

# 获取IDaaS的WS-Fed服务配置

  1. 管理员登录IDaaS企业中心,进入设置-服务配置-WS-Fed配置。
    • 签名证书:WS-Fed服务签名证书
  2. 管理员登录IDaaS企业中心,进入资源-应用-Dynamics365-认证集成-接口配置
    • Passive Uri:WS-Federation协议的认证接口
  3. 下载federationmetadata.xml文件并将前两步获取的配置填写到XML文件中
  4. 将文件上传到Microsoft Dynamics 365服务器并保存到C:\Program Files\Microsoft Dynamics CRM\CRMWeb目录下

# Microsoft Dynamics 365 配置SSO

# 将 Microsoft Dynamics 365 服务器绑定设置为 HTTPS 并配置根域 Web 地址

  1. 在 Microsoft Dynamics 365 服务器上,启动 部署管理器。

  2. 在“操作”窗格中,单击“属性”。

  3. 单击“Web 地址”选项卡。

  4. 在“绑定类型”下,选择“HTTPS”。

  1. 确认 Web 地址对绑定到 Microsoft Dynamics 365 网站的 TLS/SSL 证书和 TLS/SSL 端口有效。 由于您配置 Microsoft Dynamics 365 服务器 以将声明身份验证用于内部访问,所以将主机名用于根域 Web 地址。

# Microsoft Dynamics 365 配置基于声明验证

  1. 在部署管理器控制台树中,右键单击“Microsoft Dynamics 365”,然后单击“配置基于声明的身份验证”。

  2. 在“指定安全令牌服务”页中,输入联合元数据 URL:http://localhost/federationmetadata.xml 。

  3. 在“指定加密证书”页上,通过以下两种方法之一指定加密证书:

    • 在“证书”框中,键入证书的完全通用名 (CN),格式为 CN=certificate_subject_name。
    • 在“证书”下,单击“选择”,然后选择一个证书。

  4. 下一步验证并完成配置

# Microsoft Dynamics 365 配置面向 Internet 的部署

  1. 在部署管理器控制台树中,右键单击“Microsoft Dynamics 365”,然后单击“配置面向内部Internet访问配置”。
  2. 内部Internet访问配置

参数 说明
Web Application Server Domain Microsoft Dynamics 365 系统域名,例:crm.domain.com,内网访问使用
Organization Web Service Domain Microsoft Dynamics 365 系统域名,例:crm.domain.com
Discovery Web Service Domain Microsoft Dynamics 365 系统域名,例:crm.domain.com
  1. 点击下一步,配置外部Internet访问配置
    • 该步骤填写域名只能是子域名,不能设置为根域,例:auth.domain.com
    • 如需要外网访问需要设置该域名网路策略为外网可以访问,仅内网访问的话该步骤随便设置一个二级域名

# Internet information service配置

  1. 右键我的电脑,选择管理-服务和管理-Internet information service(IIS)管理器
  2. 选择并添加网站,域名:crm.domain.com,端口:443,需要外网访问的添加域名:auth.domain.com,端口443

# 登录验证

登录IDaaS用户中心,点击应用logo,单点进入应用系统。

E-ZKEco Pro时间&安全精细化管理平台数据同步