为MicrosoftDynamicsCRM2011配置Claims-Based认证.docVIP

为Microsoft Dynamics CRM 2011配置Claims-Based认证 Microsoft Dynamics CRM 4.0 使用Windows集成认证（Integrated Windows authentication）来对内部用户进行认证，使用窗体身份认证（Forms authentication）来对不使用VPN的外部用户提供internet访问。Microsoft Dynamics CRM 2011 将窗体身份认证替换为了基于声明的认证（Claim-based authentication），它能够提供简化的的用户访问和单点登录（single sign-on）来访问Microsoft Dynamics CRM的数据。本文将介绍如何为CRM 2011配置Claim-based认证以及IFD。 关于ADFS和Claim，可参考下述资料： A Guide to Claims–based Identity and Access Control ( HYPERLINK /fwlink/?LinkID=188049 /fwlink/?LinkID=188049) Using Active Directory Federation Services 2.0 in Identity Solutions ( HYPERLINK /fwlink/?LinkID=209776 /fwlink/?LinkID=209776) Windows Server 2008 R2 Active Directory Federation Services 2.0 ( HYPERLINK /fwlink/?LinkId=200771 /fwlink/?LinkId=200771) AD FS 2.0 Step-by-Step and How To Guides ( HYPERLINK /fwlink/?LinkId=180357 /fwlink/?LinkId=180357) Claims-Based Identity for Windows.pdf ( HYPERLINK /fwlink/?LinkID=209773 /fwlink/?LinkID=209773) 本文的内容将包括以下三部分： 1. Claim-based认证的准备工作 2. 配置Claim-based认证-内部访问 3. 配置Claim-based认证-外部访问（IFD） 1. Claim-based认证的准备工作 在配置配置Claim-based认证之前，需要考虑以下问题： （1）CRM Server 2011和AD FS 2.0的条件 如果你打算将组建装在同一个服务器上，那么你需要注意AD FS 2.0会安装在默认站点上。因此，在安装CRM 2011时需要将其安装在一个新的站点上。 在配置Claim-based认证之前，必须配置CRM 2011站点使用Secure Sockets Layer（SSL）。因为，CRM安装程序默认不会将站点配置成SSL。 CRM 2011的站点必须是具有单一绑定（single binding）。多个IIS绑定，例如两个HTTPS或两个HTTP，是CRM 2011不支持的。但可以有一个HTTP绑定，一个HTTPS绑定。 配置Claim-based认证之后，在浏览器上必须使用HTTPS来访问CRM 2011的内部和外部地址。 （2）证书的选择和要求 在使用Claim-based认证时，证书在客户端和CRM服务器之间的安全通信中扮演了重要的角色。你需要在配置Claim-based认证之前对数字证书有一个深入的理解。 下面的文档介绍了证书以及Public Key infrastructure（PKI） · Application Security - Certificates ( HYPERLINK /fwlink/?LinkId=200774 /fwlink/?LinkId=200774) · Certificate Requirements for Federation Servers ( HYPERLINK /fwlink/?LinkId=182466 /fwlink/?LinkId=182466) 在MS CRM 2011的Claim-based认证时，以下场景需要证书： Claims加密：Claim-based认证需要identities提供一个加密的证书来认证。这个证书必须被信任的认证机构（CA）签名。 SSL(HTTPS)加密：为SSL加密的证书必须对类似这些的主机名有效，例如, , 和 . 为了满足这些需求，你可以使用一个通配符(wildcard)证书(*.)，或者一个支持Subje